사회공학 - 피싱 (Phishing) - 크라우드 스트라이크 (CrowdStrike)

크라우드스트라이크의 보안 소프트웨어(SW) '팰컨 센서' 업데이트 오류로 인한 대규모 정전 사태

 

 

▲클라우드 서비스 전 세계 시장 점유율[자료=스태티스타]

 

▲한국 PC 운영체제(OS) 시장 점유율[자료=스탯카운터]

 

 

 

□ 개요

 o CrowdStrike社가 배포한 Falcon제품군 최신 패치 적용 시 윈도 시스템이 비정상 종료(블루스크린) 되는 문제 발생

 o 해당 S/W를 운용 중인 각 기관에서는 보안 조치 권고

 

□ 설명

 o CrowdStrike社 최신 Falcon제품군 패치 시, Windows 시스템 비정상 종료

 

□ 긴급 조치 방안

 

< 방법1: 안전 모드에서 문제 파일 삭제 >

 

1. 안전 모드로 부팅 → 복구 화면에서 "고급 복구 옵션 보기"를 클릭 → 고급 복구 옵션 메뉴에서 '문제 해결'을 선택 →  '고급 옵션'을 선택 → '시작 설정'을 선택하고 '다시 시작'을 클릭 → 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작

 

2. 안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자) 실행

 

3. 명령 프롬프트에서 cd C:WindowsSystem32driversCrowdStrike 명령을 입력해 CrowdStrike 디렉터리로 이동

 

4. 영향을 받는 파일을 삭제하려면 C-00000291*.sys 패턴과 일치하는 파일 검색

 

5. dir C-00000291*.sys 패턴과 일치하는 파일을 실행

 

  * 예를 들어 C-00000291abc.sys와 같은 이름을 지정할 수 있음

 

6. 파일을 식별했으면 del C-00000291.sys를 사용하여 파일을 삭제

 

 * 위의 경우 del C-00000291.sys는 시스템에 표시된 파일의 이름이며 다른 것일 수 있으며, 파일을 올바르게 식별하려면 단계를 따르고 dir 명령을 사용해야 함

 

< 방법2: 안전 모드에서 크라우드스트라이크(CrowdStrike) 폴더 이름 변경 >

 

1. 안전 모드에서 명령 프롬포트 실행

 

2. 명령 프롬프트에서 드라이버 디렉터리(cd windowssystem32drivers)로 이동

 

3. CrowdStrike 폴더의 이름을 'ren CrowdStrike CrowdStrike_old'로 변경

 

< 방법3: 레지스트리 편집기를 활용해 CSAgent 서비스 차단 >

 

1. 안전 모드에서 '윈도 레지스트리 편집기' 실행

 

2. 'HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSAgent' 경로로 이동

 

3. CSAgent 키의 오른쪽 창에서 시작(Start) 항목을 찾아 두 번 클릭으로 값을 편집

 

4. 값 데이터를 1(서비스가 자동으로 시작되도록 설정됨)에서 4(서비스 사용 안 함)로 변경

 

5. 확인을 클릭해 변경 사항을 저장하고 레지스트리 편집기를 닫고 PC를 재부팅

 

□ 주의사항

 o 긴급조치 전후 발생할 수 있는 외부 침입에 대비하여 보안강화

 o CrowdStrike사 제품군 업데이트 삭제 등을 사칭하는 파일 등에 주의

 

https://m.boannews.com/html/detail.html?idx=131501

[긴급] 크라우드 스트라이크發 윈도 시스템 ‘먹통’ 사태 악용한 사이버 공격 발생했다!

https://m.boannews.com/html/detail.html?tab_type=1&idx=131510

크라우드스트라이크 정전 사태 자체를 악용하려는 공격자들

https://m.boannews.com/html/detail.html?idx=131506

크라우드 스트라이크發 윈도 시스템 ‘먹통’ 사태, 재발 방지 위해 필요한 과제

https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71499&menuNo=205020

KISA 보호나라&KrCERT/CC