컴퓨터 네트워킹이 발명된 이후 해커는 항상 불법적으로 시스템에 침입하여 웹에서 다양한 자산을 제어하려고 시도했습니다. 일반적으로 사용자가 피해자의 컴퓨터에 액세스할 수 있는 감염된 소프트웨어를 다운로드하도록 유도하여 이를 수행합니다.
그러나 그들이 어떤 동조를 할 필요가 없다면 어떻게 될까요? 소프트웨어 업데이트를 하이재킹하여 합법적인 채널을 통해 바이러스를 배포하면 어떻게 됩니까? 2017년 9월 언젠가 해커가 CCleaner의 5.33 업데이트 배포를 인수하고 Cisco가 이달 말에 공격을 발견했을 때 일어난 일입니다.
공급망 공격에 대한 설명
CCleaner 사용자들이 방금 겪은 사건을 공급망 공격이라고 합니다. 해커는 개발자(Avast, 그 이하)의 보안을 악용하고 자체 멀웨어를 CCleaner에 주입했으며 70만 대의 컴퓨터에 5.33 업데이트를 원활하게 릴리스했습니다. 내부의 멀웨어는 이러한 모든 컴퓨터를 봇넷에 넣을 뿐만 아니라 20개의 서로 다른 주요 기술 회사(Cisco 포함)를 대상으로 시스템 및 운영에 대한 정보를 얻으려고 시도했습니다.
이것은 숙련된 코더 팀을 고용할 수 있는 정부 기관 및 기타 부패한 단체에서 자주 볼 수 있는 매우 정교한 형태의 스파이입니다.
공급망 공격은 손상된 소프트웨어가 합법적인 채널을 통해 컴퓨터에 전달되기 때문에 특히 위험합니다. 해커는 일반적으로 자신이 실행하는 소프트웨어의 취약점을 악용하거나 정교한 형태의 피싱을 사용하여 다른 서버에 로그인하는 것과 동일한 방법을 사용하여 이러한 서버에 무단으로 액세스합니다.
이러한 공격을 막기 위해 무엇을 할 수 있습니까?
S, 우리는 공급망 공격에서 멀웨어가 합법적인 채널에서 나온다는 것을 확인했습니다. 즉, 감염을 방지하기 위해 최선을 다하더라도(예:신뢰할 수 있는 출처에서 소프트웨어만 다운로드) 여전히 자신도 모르는 사이에 이런 종류의 공격에 희생됩니다. 아마도 이러한 종류의 공격에서 가장 문제가 되는 측면은 이를 방지하기 위해 수행할 수 있는 조치가 전적으로 소프트웨어를 배포하는 주체의 통제에 있다는 사실일 것입니다. 말 그대로 예방을 통제할 수 없습니다.
그러나 소프트웨어를 지속적으로 최신 상태로 유지함으로써 그러한 공격으로 인한 피해를 완화할 수 있습니다. 처음부터 소프트웨어를 제공한 배포자에게 여전히 의존하고 있다는 점을 고려할 때 비생산적으로 들린다는 것을 알고 있습니다. 그러나 그들이 해커에 의해 손상을 입었기 때문에 그들의 소프트웨어에 대한 "후속" 업데이트도 출시할 것입니다.
그러나 한동안(몇 개월에서 1년) 업데이트되지 않은 소프트웨어에 주의하십시오. 개발자가 프로젝트를 포기했을 가능성이 큽니다. 그러나 해당 소프트웨어가 자동으로 업데이트되면 해커가 이를 이용하여 감염된 사본을 제공할 수 있습니다.
개발자가 프로젝트를 포기했기 때문에 수정 사항을 릴리스하지 않을 가능성이 있습니다. 버려진 소프트웨어 프로젝트가 업데이트 서버를 종료할 것으로 예상하지만 항상 그런 것은 아닙니다. 때때로 개발자는 활성 상태일 수 있는 동일한 서버에 다른 프로젝트를 배치하기도 합니다.
하지만 핵심은 다음과 같습니다. 서버가 더 이상 작동하지 않더라도 URL은 어느 시점에서 만료됩니다. 그런 다음 합법적인 채널을 통해 맬웨어를 배포하기 위해 해야 할 일은 DNS를 구입하고 "새" 버전을 푸시하기만 하면 됩니다. 이를 방지하기 위해 할 수 있는 유일한 방법은 버려진 소프트웨어의 자동 업데이트를 끄는 것입니다.
이러한 일은 거의 일어나지 않지만 CCleaner와 같은 것이 이러한 방식으로 하이재킹될 수 있다면 공급망 공격이 하향 추세에 있을 가능성은 거의 없습니다. 반대로 해커가 자신의 흔적을 남기도록 영감을 주는 이와 같은 이벤트를 볼 수 있을 것입니다.
이 시나리오에서 유용할 수 있는 다른 조언이 있습니까? 댓글로 이에 대해 이야기해 봅시다!