MS 애저·365 담당자라면 '주목'··· 솔라윈즈 위험성 평가 방안 따라잡기

솔라윈즈 (솔로리게이트 ; Solorigate) 사건과 관련해 희망적인 측면 하나는 마이크로소프트를 비롯한 여러 업체에서 발표한 엄청난 양의 새로운 블로그와 콘텐츠이다.

소속 조직이 이번 공격에 직접적인 영향을 받지 않았다 하더라도, 이런 종류의 공격으로부터 네트워크를 보호하기 위해 본인과 소속 팀이 무엇을 하고 있는지에 대한 질문에는 대답을 준비해야 할 것이다. 이 경우 요긴한 자료들을 정리했다.
 

마이크로소프트 솔로리게이트 자료 센터
마이크로소프트 솔로리게이트 자료 센터는 지금도 풍성해지고 있는 정보의 원천이다. 시간을 내서 아래 링크를 살펴보자. 마이크로소프트 365 또는 애저 액티브 디렉터리(AD) 고객은 솔라윈즈 위험성 평가를 위해 애저 AD 워크북을 검토해볼 만하다 워크북에 접근하려면 먼저 애저 워크스페이스를 설정한 후 애저 모니터 로그로 애저 AD 로그를 설정해야 한다. 그 방법은 다음과 같다.

애저 포털에 사인인한 후 ‘애저 액티브 디렉터리’, ‘진단 설정’, ‘진단 설정 추가’를 차례로 선택한다. 감사 로그 또는 사인인 페이지에서 ‘내보내기 설정’을 선택하여 진단 설정 구성 페이지로 이동할 수도 있다. ‘진단 설정’ 메뉴에서 ‘로그 분석 워크스페이스로 보내기’란을 선택한 후 ‘구성’을 선택한다. 그 다음에는 로그를 보내고자 하는 로그 분석 워크스페이스를 선택하거나 제공된 대화 상자에서 새로운 워크스페이스를 생성한다.

로그 분석 워크스페이스로 감사 로그를 보내려면 ‘감사 로그’란을, 사인인 로그를 보내려면 ‘사인인 로그’란을 선택한다. 사인인 데이터를 내보내려면 애저 AD P1 또는 P2 라이센스가 필요하다. 이제 해당 정보를 로그 분석 워크스페이스로 보내기로 선택한다. ‘저장’을 선택하여 설정을 저장한다. 사용자의 P1 라이선스가 사인인 로그에서 인지될 때까지 시간이 약간 걸릴 수 있다.

그 다음에는 애저 포털에 사인인하여 ‘애저 액티브 라이브러리’, ‘모니터링’, ‘워크북’ 순서로 이동한다. 민감한 운영 보고서를 찾아본다.



분석할 데이터가 워크북으로 들어올 때까지 시간이 걸릴 수도 있지만 결국에는 다음과 같은 보고서를 검토할 수 있다.
 

• 수정된 애플리케이션 및 서비스 주체 인증 정보/인증 방법. 앱과 서비스 주체에 새로 추가된 인증 정보를 모두 볼 수 있다. 예를 들면, 인증 정보 종류, 최상위 액터, 인증 정보 수정 분량, 모든 인증 정보 변경사항의 변경 시각 등이다.
•  
• 수정된 페더레이션(federation) 설정. 기존 도메인 페더레이션 신뢰에 수행된 변경 사항과 새롭게 추가된 도메인 및 신뢰 등이 있다.
•  
• 디렉터리싱크(DirectorySync)를 제외한 애플리케이션과 서비스 주체에 의한 애저 AD STS 리프레시 토큰 수정. 이 부분의 데이터를 검토할 때 관리자는 새로운 토큰 인증 시간 주기 중에서 값이 높은 것을 확인하고 이것이 적법한 변경이었는지 아니면 공격자의 계속적인 시도였는지 조사해야 한다.
•  
• 서비스 주체에게 부여된 새로운 권한. 기존 서비스 주체에게 부여된 앱온리(AppOnly) 권한의 세부 내용이 표시된다. 관리자는 지나치게 높은 권한이 부여된 경우를 모두 조사해야 한다. 조사 대상은 익스체인지 온라인, 마이크로소프트 그래프, 애저 AD 그래프 등이 포함되나 여기에 국한되지 않는다.
•  
• 서비스 주체를 위한 디렉터리 역할 및 그룹 멤버십 업데이트. 서비스 주체 멤버십의 변경사항 전체에 대한 개요가 나와 있으며 높은 권한 역할 및 그룹에 추가된 것이 없는지 검토해야 한다. 

CISA Sparrow.ps1
미국 사이버보안 및 인프라 보안국(CISA)은 ‘애저/마이크로소프트 365 환경에서 사용자와 애플리케이션을 위협하는 범상치 않고 악성일 가능성이 있는 활동을 탐지’하기 위한 무료 도구 Sparrow.ps1를 공개했다. 이 도구는 애저와 마이크로소프트 365 환경에서 해킹되었을 가능성이 있는 계정과 애플리케이션 탐지를 도와준다. 

또한, “분석 시스템에 필요한 파워셸 모듈을 확인 후 설치하고, 애저/M365에 해킹의 조짐이 없는지 통합 감사 로그를 확인하고, 애저 AD 도메인을 나열하고, 잠재적인 악성 활동을 파악하기 위해 애저 서비스 주체 및 그들의 마이크로소프트 그래프 API 권한을 확인하게 되고, 그 다음에는 기본 디렉터리에 여러 개의 CSV 파일로 데이터를 출력한다.”

CISA는 비상 명령, 경보, 지침은 물론 약점 파악을 위한 써드파티 도구를 소개한 개요 사이트도 공개했다.

애저용 크라우드스트라이크 리포팅 툴
무료로 사용할 수 있는 애저용 크라우드스트라이크 리포팅 툴(CrowdStrike Reporting Tool(CRT))은 애저 AD에서의 위험을 식별하고 위험 경감을 돕는다. 크라우드스트라이크는 공격자가 마이크로소프트 365 구독권을 고객 대신 판매, 제공, 또는 관리해 주는 업체들을 통해 마이크로소프트 365 고객을 자주 노린다는 사실을 알아냈다. 

“크라우드스트라이크는 2020년 12월 15일 마이크로소프트 위협 정보 센터로부터 연락을 받았다. 구체적인 내용은 재판매업체가 크라우드스트라이크의 마이크로소프트 오피스 라이선스 관리에 사용하는 마이크로소프트 애저 계정이 몇 달 전 17시간에 걸쳐 마이크로소프트 클라우드 API로 비정상적인 호출을 하는 것이 관찰되었다는 것이다. 이메일을 읽으려는 시도가 있었으나 실패한 것으로 마이크로소프트에 의해 확인되었다”라고 기술돼 있다. 

직접 조사를 시작하려면 본인의 마이크로소프트 365 구독권에 접근권이 있는 써드파티 업체가 어디인지 검토해야 한다. 해당 업체가 본인의 계정에 어떤 권한을 갖고 있는지 함께 검토해야 한다. 

그 다음으로는 크라우드스트라이크의 제안 내용을 검토한 후 크라우드스트라이크의 도구를 사용해 추가 구성을 검토한다. 최소한, 로그 저장 과정에서 여러 개의 로그 파일이 설정되고 캡처 되어야 한다. 설정되어야 하는 로그는 다음과 같다. 
 

• 통합 감사 로그
• 애저 활동 로그
• 애저 서비스 로그
• 애저 NSG 플로우 로그
• 애저 AD 로그 :

예방 조치의 일환으로 다요소인증(MFA)을 설정하고 반드시 모든 사용자를 대상으로 완전히 실행되도록 해야 한다. 그런 다음에는 새로운 미지의 MFA가 없는지 로그 파일을 검토한 후 MFA 등록으로부터 서비스 계정을 제한하고 MFA 사용을 관찰한다. 서드파티 도구와 애플리케이션이 공격자의 MFA 우회에 이용되지 않도록 MFA 접근 정책을 ‘비브라우저 앱에 사인인하기 위한 앱 비밀번호 생성 금지’로 설정한다.
 
그런 다음 조건부 접근 정책을 검토하고 실행한다. 지오펜싱 또는 신뢰할 수 있는 위치를 설정한다. 신뢰할 수 있는 위치를 설정했다면 본인이 신뢰하고자 하는 위치가 맞는지, 어떠한 공격자도 이 지역에 차단을 추가하지 않았는지 검토한다.

그 다음으로는 최신 인증을 실행하고 구형 인증은 차단한다. IMAP와 POP가 차단되어 있고 사용이 제한되어 있는지 확인한다. 심각성이 중간이거나 높은 ‘위험한 사인인’을 차단하고 미지의 ID 제공업체로부터의 인증 요청을 감시한다. 서비스 주체에게 추가되고 있는 인증정보를 감시한다. 마지막으로, 사용자의 비밀번호가 변경될 때 사용자에게 통지할 수 있도록 셀프 서비스 비밀번호 재설정(SSPR) 요청을 설정한다. ciokr@idg.co.kr