침해를 경험하셨나요?
|
지원
|
당사에 연락하기
|
+1 855 426 3983
블로그
/
랜섬웨어 격리
라구 난다쿠마라
산업 전략 담당 부사장
Illumio Editorial
4월 16, 2021
23 분 읽기

이름:WRECK 테이크아웃 - 마이크로 세분화가 가시성 및 억제에 도움이 되는 방법

공격자는 도메인 이름 시스템(DNS) 응답 처리의 결함을 악용하여 경계 방화벽 뒤에 있는 중요한 서버와 IoT 장치를 원격으로 손상시킬 수 있는 NAME:WRECK 취약점 모음을 사용할 수 있습니다. 의료 기술, 스마트 기기, 산업 장비 등 전 세계 수억 대의 디바이스가 NAME:WRECK을 사용하여 잠재적으로 손상될 수 있습니다.

Recently published research by Forescout and JSOF details this collection of vulnerabilities that leverage DNS response parsing. These defects are found in the TCP/IP stacks in a number of operating systems and could lead to remote code execution or denial of service on the target system. In order to exploit these vulnerabilities, an attacker needs to be able to reply to a valid DNS query – by inserting themselves as a man in the middle between the vulnerable client and the DNS server – with a response whose payload is formatted to trigger the weakness. Platforms shown to be vulnerable include FreeBSD, which is prevalent across data centres, and Nucleus and NetX, which are both extensively used as operating systems in IoT and OT devices. The full write-up on NAME:WRECK can be found here.

BLOG

초기 침해는 공격자가 대상 디바이스에 대한 네트워크 액세스 권한을 가지고 있어야 하고 침해 후 측면 이동은 네트워크 액세스 권한이 존재해야 한다는 점을 고려할 때 가시성과 마이크로 세분화는 가능한 공격의 탐지와 완화를 모두 지원할 수 있는 기능을 제공합니다.

두 가지 모두의 출발점은 영향을 받는 플랫폼을 실행하는 환경에서 디바이스의 정확한 자산 인벤토리를 파악하는 것입니다. 데이터 센터에 있는 서버의 경우에는 간단할 수 있지만 캠퍼스 곳곳에 흩어져 있는 IoT 또는 OT 디바이스의 경우에는 이 정보가 완벽하지 않은 경우 네트워크의 어느 위치에 배포되어 있는지(특정 IP가 아니라면 서브넷 수준에서도) 파악하는 것이 좋은 출발점이 될 수 있습니다.

가시성

공격자는 악성 DNS 응답을 삽입하기 위해 중간자 공격을 수행해야 하므로 악성 연결을 식별하는 것이 어려울 수 있습니다. 하지만 다음과 같은 내용을 통해 어느 정도 인사이트를 얻을 수 있습니다:

  • 인식할 수 없거나 예상치 못한 DNS 서버에 대한 DNS 연결을 시도했습니다.
  • 특정 DNS 서버에 대한 비정상적으로 많은 양의 활동.
  • 대용량 페이로드가 포함된 DNS 응답.

손상 후 잠재적인 측면 이동은 다음을 통해 감지할 수 있습니다:

  • 일반적으로 연결되지 않는 내부 장치에 대한 대상 자산(FreeBSD, NetX, Nucleus) 연결.
  • 대상 부동산의 새로운 인터넷 연결 시도.
  • 대상 자산과 주고받는 새로운 대용량 데이터 전송.

격리

조직은 마이크로 세분화를 활용하여 잠재적인 공격 표면을 줄이고 측면 이동을 억제할 수 있습니다:

  • 기기가 인증된 DNS 서버(내부 및 외부 모두)에만 액세스할 수 있도록 제한합니다.
  • 규칙에 따라 비즈니스 운영에 필요한 흐름만 허용하도록 장치에 대한 액세스를 제한하여 네트워크에 대한 무제한 액세스를 방지합니다.
  • 디바이스의 인터넷 액세스를 차단하거나 특정 도메인으로만 액세스를 제한하세요.

일루미오 고객은 일루미오 코어의 탁월한 가시성을 활용하여 이러한 모니터링을 활성화하고 적절한 세분화 정책을 수립할 수 있습니다. 방법을 알아보려면 Illumio 계정 팀에 문의하세요.

관련 주제

항목을 찾을 수 없습니다.

관련 문서

랜섬웨어의 피해: 제로 트러스트가 위험을 완화하는 방법은 다음과 같습니다.
랜섬웨어 격리

랜섬웨어의 피해: 제로 트러스트가 위험을 완화하는 방법은 다음과 같습니다.

포괄적인 가시성을 기반으로 구축된 Illumio의 제로 트러스트 세분화가 랜섬웨어 위험을 완화하는 데 어떻게 도움이 될 수 있는지 알아보세요.

자세히 알아보기
.Net 어셈블리를 사용하는 랜섬웨어 기법 이해하기: EXE 어셈블리 대 DLL 어셈블리
랜섬웨어 격리

.Net 어셈블리를 사용하는 랜섬웨어 기법 이해하기: EXE 어셈블리 대 DLL 어셈블리

.Net 어셈블리(EXE와 DLL)의 주요 차이점과 초기 하이레벨 코드에서 실행되는 방식에 대해 알아보세요.

자세히 알아보기
일루미오가 하이브리드 멀티 클라우드 환경에서 랜섬웨어의 횡방향 이동을 차단하는 방법
랜섬웨어 격리

일루미오가 하이브리드 멀티 클라우드 환경에서 랜섬웨어의 횡방향 이동을 차단하는 방법

Illumio 클라우드 탐지 및 세분화 솔루션이 어떻게 랜섬웨어의 횡방향 이동을 방지하고 하이브리드 클라우드 전반에서 침해를 차단하는지 알아보세요.

자세히 알아보기
항목을 찾을 수 없습니다.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

자세히 알아보기