원격 엑세스 소프트웨어 보안 가이드 발표

1. 개요

- 미국 CISA, FBI, NSA, MS-ISAC 및 이스라엘 INCD(Israel National Cyber ​​Directorate)에서 원격 엑세스 소프트웨어 보안 가이드 발표

- 공격자들은 합법적인 목적의 원격 엑세스 소프트웨어를 악용해 보안 장비의 탐지를 우회하여 침입하므로 관련 보안 강화 권고

 

2. 주요내용

- 원격 엑세스 소프트웨어는 합법적인 목적으로 서버 등에 설치되어 사용되므로 보안 소프트웨어에서 탐지되지 않음

- 공격자는 관련 도구를 사용해 LOTL(Living off the Land) 공격을 진행

LOTL(Living off the Land) 공격
- 자급자족식 공격
> 보안 솔루션의 성능이 향상됨에 따라 탐지를 우회하거나 보안 솔루션의 탐지 대상이 아닌 소프트웨어를 이용한 공격이 주목을 받으며 등장

- 공격 대상 시스템에  미리 설치되어 있는 도구를 활용하여 공격을 수행하며, 합법적인 과정으로 자신의 행위를 숨길 수 있으며 탐지를 더욱 어렵게 만듦
> 윈도우 CMD, PowerShell 등의 합법적 도구 및 사용자가 설치한 취약점이 존재하는 소프트웨어 등을 공격에 이용

- 다음과 같은 이점을 지님
① 보안 장비의 탐지를 우회할 수 있음: 정삭적인 툴로써 동작
② 공격 식별 감소: 기존 공격 툴의 경우 공격 시 관련된 시그니처 등 정보가 기록됨
③ 공격 준비 시간 감소: 이미 설치된 도구를 사용

- 대응방안
① MFA 적용
② 주기적 암호 변경
③ 관련 도구 사용 모니터링 및 로그 검토
④ 피싱메일, 문서 매크로 등 주의
⑤ 보안 소프트웨어 최신 업데이트 적용, 보안 기능 활성화 등

 

- 공격자는 초기 액세스, 지속성 유지, 추가 소프트웨어 및 도구 배포, 측면 이동 및 데이터 유출을 위해 원격 액세스 소프트웨어를 사용

> 랜섬웨어 및 특정 APT 그룹에서 자주 사용됨

> PowerShell 등의 명령줄 도구를 사용해 원격 엑세스 소프트웨어 에이전트를 배포하거나 기존에 설치되어 있는 원격 엑세스 소프트웨어 악용

> 원격 엑세스 멀웨어 등의 상용 침투 테스트 도구와 함께 원격 엑세스 소프트웨어를 사용해 여러 형태의 접근을 통해 지속성 유지

 

- 공격자가 주로 활용할 수 있는 원격 엑세스 소프트웨어는 다음과 같음

원격 엑세스 소프트웨어 도구
ConnectWise Control (formerly ScreenConnect)	Pulseway
Anydesk	RemotePC
Remote Utilities	Kaseya
NetSupport	GoToMyPC
Splashtop	N-Able
Atera	Bomgar
TeamViewer	Zoho Assist
LogMeIn

 

3. 권고사항

- 일반적인 표준을 기반으로 위럼 관리 전략 유지

- 현재 사용 중 이거나 사용 가능한 원격 엑세스 소프트웨어의 실행을 제한하는 어플리케이션 제어 구현

- 원격 엑세스 소프트웨어 사용과 관련된 로그 검토

- 네트워크를 분할하여 측면 이동을 최소화

- 원격 엑세스 소프트웨어가 사용하는 포트 및 프로토콜 차단 및 HTTPS 443을 통한 원격 트래픽 차단

- 원격 엑세스 소프트웨어가 업무적으로 필요한 경우 액세스 권한이 있는 모든 계정에 대해 MFA 적용

- 원격 엑세스 소프트웨어 계정의 권한을 최소한으로 설정

 

4. 참고

[1] https://www.cisa.gov/news-events/alerts/2023/06/06/cisa-and-partners-release-joint-guide-securing-remote-access-software
[2] https://www.cisa.gov/resources-tools/resources/guide-securing-remote-access-software