[소만사 악성코드 분석리포트 ] CrowdStrike 보안 업데이트 사칭, 와이퍼 악성코드 분석

1. 요약
      1) CrowdStrike의 소프트웨어 장애 사건을 이용하여
          보안 소프트웨어 업데이트 파일로 위장한 와이퍼 악성코드가 유포됨.
          피해자가 직접 클릭하여 와이퍼 악성코드를 실행하도록 유도.
      2) 와이퍼 악성코드는 1차 Dropper인 보안 패치 위장 악성코드를 통해
          2차 인젝터인 Champion.pif를 거쳐 RegAsm.exe 내 삽입되어
          데이터 삭제, 시스템 파괴, 복구 방해를 수행함.
      3) 목표 지향적인 와이퍼 악성코드는 이메일 첨부 파일, 악성 웹사이트,
          제로데이 취약점을 통해 배포되어 데이터나 시스템에
          영구적인 손상을 안겨 큰 피해를 발생시킬 수 있음.

2. 대응 방안
     1) Privacy-i EDR과 같은 EDR 제품을 통해 취약점 실행을 행위 기반으로 차단
     2) 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비
     3) 논리적 망분리를 적용하여 악성코드 PC 유입을 원천 차단
     4) AV(패턴기반탐지) + EDR(행위기반탐지) 솔루션
     5) PC 취약점을 주기적으로 점검, 보완
     6) 신뢰할 수 없는 메일의 첨부파일 실행 금지
     7) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단
     8) OS나 어플리케이션은 최신 형상 유지