[MCSOC 보안권고문] CrowdStrike 제품으로 인한 윈도우 시스템 비정상 종료 이슈를 악용한 사이버 공격 주의

[MCSOC 보안권고문] CrowdStrike 제품으로 인한 윈도우 시스템 비정상 종료 이슈

2024. 7. 22.

🔔 개요

최근 발생한 CrowdStrike社 제품으로 인한 윈도우 시스템 비정상 종료(블루스크린)와 관련하여 이를 악용한 사이버 공격 시도가 해외에서 발생하고 있어 국내 기업 보안 담당자의 주의 필요

🔔 주요 사례

CrowdStrike社가 유발한 기술 문제를 복구시켜준다며 악성코드를 유포

CrowdStrike社 지원으로 가장한 피싱 이메일을 통해 개인정보 입력을 유도

🔔 권고 사항

CrowdStrike社 홈페이지* 및 보호나라** 등에서 제공하고 있는 공식적인 긴급 복구 방안만 참고

🔔 긴급 조치 방안

<방법1: 안전 모드에서 문제 파일 삭제>

안전 모드로 부팅 → 복구 화면에서 "고급 복구 옵션 보기"를 클릭 → 고급 복구 옵션 메뉴에서 '문제 해결'을 선택 → '고급 옵션'을 선택 → '시작 설정'을 선택하고 '다시 시작'을 클릭 → 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작
안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자) 실행
명령 프롬프트에서 cd C:WindowsSystem32driversCrowdStrike 명령을 입력해 CrowdStrike 디렉터리로 이동
영향을 받는 파일을 삭제하려면 C-00000291*.sys 패턴과 일치하는 파일 검색
dir C-00000291*.sys 패턴과 일치하는 파일을 실행* 예를 들어 C-00000291abc.sys와 같은 이름을 지정할 수 있음
파일을 식별했으면 del C-00000291.sys를 사용하여 파일을 삭제* 위의 경우 del C-00000291.sys는 시스템에 표시된 파일의 이름이며 다른 것일 수 있으며, 파일을 올바르게 식별하려면 단계를 따르고 dir 명령을 사용해야 함

<방법2: 안전 모드에서 크라우드스트라이크(CrowdStrike) 폴더 이름 변경>