CISA, 사고 대응 사례에서 얻은 교훈 공유
CISA는 미국 연방 기관에서 엔드포인트 탐지 및 대응 도구가 의심스러운 활동을 탐지한 후 사이버 사고에 대응했습니다. 해당 기관은 두 개의 GeoServer에서 CVE-2024-36401을 악용하여 침해당했습니다. 이 취약점은 악용되기 직전에 공개되었으며, 공격자가 원격 코드 실행 권한을 얻을 수 있도록 했습니다.공격자는 3주 동안 탐지되지 않은 채 다른 서버로 측면 이동했습니다. 이번 사고에서 얻은 주요 교훈은 심각한 보안 실패를 강조합니다. 특히 공개 시스템의 취약점을 신속하게 해결하는 것이 필수적입니다.조직은 제3자 지원을 용이하게 하는 것을 보장하며 정기적으로 사고 대응 계획을 테스트하고 업데이트해야 합니다. 위협을 시기적절하게 탐지하기 위해서는 엔드포인트 탐지 및 대응 경고를 지속적으로 검토하는 것이 중요합니다. 또한 효과적인 사고 분석을 위해 포괄적이고 중앙 집중식 로깅을 구현하는 것도 필수적입니다.공격자는 정찰, 리소스 개발 및 공격의 다양한 단계를 위해 공개적으로 사용 가능한 도구를 사용했습니다. 지속성을 위해 웹 쉘, cron 작업 및 유효한 계정을 사용했습니다. 알려진 Linux 취약점을 사용하여 권한 상승 시도가 이루어졌습니다.방어 회피 전술에는 간접 명령 실행 및 RingQ와 같은 도구 사용이 포함되었습니다. 자격 증명 액세스는 무차별 대입 기술과 서비스 계정 악용을 통해 달성되었습니다. 탐색 노력에는 네트워크 스캐닝 및 취약점 평가 도구가 포함되었습니다. CISA는 조직이 유사한 공격을 방지하는 데 도움이 되는 침해 지표 및 기술 세부 정보를 제공합니다.