뉴스4. 신뢰받는 도구의 배신... MS 애즈카피, 랜섬웨어 데이터 탈취 도구로 악용

 

기사 요약: 마이크로소프트의 정상 데이터 전송 프로그램(AzCopy)이 해커에게 악용되어 회사 데이터를 몰래 빼돌리는 데 사용되고 있다.

 

1. 애즈카피(AzCopy)는 마이크로소프트가 만든 클라우드 파일 전송 프로그램입니다. (컴퓨터에서 클라우드 서버로 파일을 옮기는 것.)

주로 아래와 같은 상황에 이용.

• 서버 파일 → 클라우드 백업
• 클라우드 → 회사 서버 다운로드

Azure Blob Storage = 마이크로소프트 클라우드에 파일을 저장하는 공간

 

2. 탈취 완료 후: 랜섬웨어 공격을 함.

이중협박: 1) 파일 암호화 2) 데이터 공개 협박

.azcopy라는 로그 폴더 만들어 공격 후 삭제하여 증거 제시.

탐지하기 어려운 이유:

1. 정상 프로그램 사용
2. 정상 인터넷 통신 사용: HTTPS(일반 인터넷 통신)

보안 시스템 - 그냥 클라우드 업로드로 보임.

 

--include-after : 특정 날짜 이후 파일만 선택.

중요한 최신 문서만 훔침.

--cap-mbps : 업로드 속도 제한

why? 너무 빠르게 데이터가 움직이면 데이터 유출로 의심 받을 수 있어서.

 

대응:

1)클라우드 통신 모니터 / 평소 Azure와 통신하지 않던 컴퓨터와 연결되면 의심 필요.

2)UEBA(User and Entity Behavior Analytics) = 행동 분석 보안 / 평소와 다른 행동 탐지하라는 말.

개인 의견: 시스템의 눈속임을 하는 해킹 방법이 나날이 발전하고 있는데, 선제적으로 보안하거나 타격할 수 있는 방법이 없는지에 대해 궁금증이 생겼다.

 

<용어 정리>

EDR (Endpoint Detection & Response): 컴퓨터에서 발생하는 보안 공격을 감지하고 대응하는 보안 시스템

SAS: 비밀번호 없이도 특정 기간 동안만 클라우드에 접근할 수 있게 해주는 임시 접근 권한 링크

AzCopy: 마이크로소프트가 만든 클라우드 파일 전송 프로그램입니다. (컴퓨터에서 클라우드 서버로 파일을 옮기는 것.)

Azure Blob Storage: 마이크로소프트 클라우드에 파일을 저장하는 공간(인터넷에 있는 대용량 파일 저장소)

UEBA(User and Entity Behavior Analytics): 사용자와 시스템의 행동을 분석해서 이상 행동을 탐지하는 보안 기술

 

뉴스링크: https://www.boannews.com/media/view.asp?idx=142513&page=1&kind=4