소식

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

새로운 지혜 보고서

편집자: Aeneas 너무 졸려

[새로운 지혜 소개] 물론, 외국 언론은 이번에 마이크로소프트의 블루 스크린 재앙을 초래한 크라우드스트라이크 CEO가 윈도우 XP 시대에 전 세계 기기를 충돌시켰다는 사실을 최근 발견했습니다. 업데이트도 동일하고 장치 연결도 해제되며 수동 수리도 필요합니다. 전 세계 IT 재난을 두 번이나 일으킨 이 사람은 "역사상 유명한 사람"으로 기억될 수 있다.

마이크로소프트의 글로벌 블루스크린 사건이 해결되었습니다!

"C-00000291*.sys" 구성 파일에 의해 유발된 시스템 논리 오류는 전 세계 약 10억 대의 컴퓨터를 즉시 파괴했으며 이후 모든 2차 및 3차 영향을 촉발했습니다.

AI 마스터 카파시(Karpathy)의 말처럼 기술 분야에 여전히 존재하는 한 지점의 순간적인 장애는 인류 사회에 막대한 숨은 위험을 초래할 것이다.

이 세계적인 TI 재앙의 주범인 CrowdStrike의 CEO는 해외 언론을 통해 전과가 밝혀졌습니다.

2010년에 그는 McAfee의 업데이트를 사용하여 전 세계의 장치를 충돌시킨 사람이었습니다!

논리 오류로 인해 전역 붕괴가 발생함

오류가 발생하자마자 일부 네티즌은 모든 사람에게 경고를 보냈습니다. 모든 CrowdStrike 업데이트를 중지하세요! 모든 CrowdStrike 업데이트를 중지하세요!

사건의 원인에 대해 오브젝티브-씨 재단(Objective-See Foundation) 창립자인 패트릭 워들(Patrick Wardle)도 즉각 정밀 조사에 나섰다.

먼저 그는 결함 위치인 mov r9d, [r8]을 살펴보았습니다. 그 중 R8은 매핑되지 않은 주소에 속합니다.

이 위치는 포인터 배열(RAX에 저장됨)에서 가져오며, 인덱스 RDX(0x14 * 0x8)에는 잘못된 메모리 주소가 있습니다.

다른 "드라이버"(예: "C-00000291-...32.sys")는 난독화된 데이터로 보이며 "CSAgent.sys"에 의해 x-ref'd됩니다.

따라서 이 잘못된(구성/서명) 데이터로 인해 CSAgent.sys 오류가 발생했을 수 있습니다.

디버깅을 통해 이는 더 쉽게 확인할 수 있습니다.

분명히 이 사건에서 가장 중요한 답이 없는 질문은 이 "C-00000291-...xxx.sys" 파일이 정확히 무엇인가 하는 것입니다.

CSAgent.sys가 이를 참조하면 즉시 충돌이 발생하며 이를 삭제하면 충돌이 해결됩니다.

VT에서는 CSAgent.sys와 단일 크래시 덤프의 데이터도 리버스 엔지니어링했습니다.

마지막으로 Wardle은 여러 버전의 CSAgent.sys(+idb)와 다양한 "C-....sys" 파일("수정"이 포함된 것으로 생각되는 최신 파일 포함)을 공유했습니다.

그는 Windows 시스템이나 가상 머신이 없기 때문에 네티즌들이 계속해서 발굴할 수 있기를 바란다고 말했습니다.

바로 어제 맬웨어 전문가 Malware Utkonos가 더 많은 세부 정보를 발견했습니다.

주소 37c78ba2eac468941a80f4e12aa390a00cb22337fbf87a94c59cee05473d1c66에는 0xaaaaaaaa에 대한 파일 매직 체크가 있는 것 같습니다.

이 모드는 "채널 파일"의 처음 4바이트이기도 합니다. 모두 NULL인 파일로 인해 cmp가 실패할 수 있습니다.

보시다시피 0xaaaaaaaa와 비교한 rcx의 값은 ExAllocatePoolWithTagPriority에 의해 상단에 할당됩니다. ZwReadFile이 읽은 데이터를 받는 버퍼가 있습니다.

그런 다음 이 값은 cmp를 사용하여 함수에 전달됩니다(Utkonos는 다이어그램에서 이러한 함수를 내부 wdm.h 함수 호출로 명명했습니다).

타당성 검사를 통해 여기에서 확인한 "채널 파일"의 오프셋 0에 0xaaaaaaaa 바이트 패턴이 한 번만 나타나는 것을 확인할 수 있습니다.

cmp 같은 것을 실행하기 위한 주소는 다음과 같습니다.

보시다시피 0xaaaaaaaa만 다르게 보입니다.

CrowdStrike 공식 설명

곧 CrowdStrike가 공식 블로그에 공개한 설명을 통해 네티즌들이 혼란스러워했던 질문이 명확해졌습니다.

2024년 7월 19일 04:09 UTC에 CrowdStrike는 진행 중인 작업 중에 Windows 시스템에 대한 센서 구성 업데이트를 출시했습니다. 이는 Falcon 플랫폼 보호 메커니즘의 일부이기도 합니다. 이 구성 업데이트는 영향을 받는 시스템에서 충돌 및 BSOD(블루 스크린 오류)를 발생시키는 논리 오류를 유발했습니다. 시스템 충돌을 일으킨 업데이트는 2024년 7월 19일 05:27 UTC에 수정되었습니다.

신고 주소: https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

기술적인 내용은 다음과 같습니다 -

Windows 시스템에서 채널 파일은 C:WindowsSystem32driversCrowdStrike 디렉터리에 있으며 파일 이름은 "C-"로 시작합니다. 각 채널 파일은 고유 번호로 식별됩니다.

이번 사건의 영향을 받은 채널 파일은 291이며, 파일 이름은 "C-00000291-"로 시작하고 .sys 확장자로 끝난다. 채널 파일은 SYS 확장자로 끝나지만 커널 드라이버는 아닙니다.

채널 파일 291은 Falcon이 Windows 시스템에서 명명된 파이프 실행을 평가하는 방법에 영향을 줍니다. 이러한 명명된 파이프는 Windows에서 일반적인 프로세스 간 또는 시스템 간 통신에 사용되는 메커니즘입니다.

금요일의 업데이트는 사이버 공격에서 흔히 발생하는 C2 프레임워크에서 사용되는 새로 발견된 악성 Named Pipe를 대상으로 했으나 실제로는 시스템의 논리 오류를 유발하여 충돌을 일으켰습니다.

하지만 이는 채널 파일 291이나 다른 채널 파일의 널 바이트 문제와는 아무런 관련이 없습니다.

이 사건은 네티즌들이 Suno를 이용해 노래로 만들어졌습니다.

복구하려면 안전 모드에서 머신을 부팅하고 로컬 관리자로 로그인한 후 콘텐츠를 삭제해야 합니다. 이는 자동화가 불가능합니다.

그러므로 이 마비는 너무나 큰 영향을 미치고 회복하기 어렵습니다.

지난번에도 그 사람이었어

CrowdStrike는 금요일에 실수를 인정하고 사과와 해결책을 발표했습니다.

그러나 그들은 테스트 및 기타 안전 조치 없이 어떻게 유해한 업데이트가 출시되었는지 아직 설명하지 않았습니다.

당연히 많은 비판적 목소리가 사건의 중심 인물인 CrowdStrike CEO George Kurtz에 집중되기 시작했습니다.

기술 산업 분석가인 Anshel Sag는 Kurtz가 주요 IT 사고에서 중요한 역할을 한 것이 이번이 처음이 아니라고 지적했습니다.

익숙한 레시피, 익숙한 맛

2010년 4월 21일, 안티바이러스 소프트웨어인 McAfee는 기업 고객을 위한 소프트웨어 업데이트를 출시했습니다.

업데이트된 소프트웨어를 구하면 Windows 시스템에서 중요한 파일이 삭제되어 전 세계 수백만 대의 컴퓨터가 충돌하고 반복적으로 다시 시작됩니다.

CrowdStrike의 오류와 유사하게 McAfee의 문제도 수동 수리가 필요합니다(장치 연결이 끊어지고 오프라인 상태임).

커츠는 당시 맥아피의 최고기술책임자(CTO)였습니다.

2012년 Kurtz는 CrowdStrike를 설립하고 현재까지 CEO로 재직하고 있습니다.

2010년에 무슨 일이 일어났나요?

2010년 4월 21일 오전 6시에 McAfee는 기업 고객에게 "문제가 있는" 바이러스 정의 업데이트를 출시했습니다.

그러면 자동으로 업데이트된 Windows XP 컴퓨터는 기술 지원 담당자가 도착하여 수동으로 수리할 때까지 "무한 재부팅" 루프에 빠지게 됩니다.

그 이유는 실제로 매우 간단합니다. 새로운 정의를 받은 후 안티 바이러스 소프트웨어는 일반 Windows 바이너리 파일 "svchost.exe"를 "W32/Wecorl.a" 바이러스로 식별하고 이를 파괴합니다.

한 대학 IT 직원은 그 결과 네트워크에 있는 컴퓨터 1,200대가 다운되었다고 보고했습니다.

미국 회사에서 보낸 또 다른 이메일은 "수백 명의 사용자"가 영향을 받았다고 말했습니다.

이 문제는 많은 수의 사용자에게 영향을 미치며 단순히 svchost.exe를 바꾸는 것만으로는 문제가 해결되지 않습니다. 안전 모드로 부팅하고 extra.dat 파일을 설치한 다음 vsca 콘솔을 수동으로 실행해야 합니다. 그 후에는 격리된 파일도 삭제해야 합니다. 각 사용자는 최소 2개의 파일을 격리하고 일부 사용자는 최대 15개의 파일을 보유합니다. 안타깝게도 이 방법을 사용하면 복구하는 파일 중 어떤 파일이 중요한 시스템 파일인지, 어떤 파일이 바이러스 파일인지 확인할 수 없습니다.

또 호주에서는 국내 최대 슈퍼마켓 체인의 금전 등록기 중 10%가 마비돼 14~18개 매장이 문을 닫았다는 보고도 있다.

당시 이 사건의 영향은 너무 커서 모두가 놀랐습니다. "바이러스 개발에 집중하는 해커라도 오늘날 McAfee처럼 많은 컴퓨터를 신속하게 '파괴'할 수 있는 악성 코드를 생성할 수는 없을 것입니다."

다음은 이번 사건에 대한 SANS 인터넷 폭풍 센터의 설명이다.

McAfee 버전 5958 "DAT" 파일은 Windows XP SP3에서 많은 문제를 일으키고 있습니다. 영향을 받는 시스템은 재부팅 루프에 들어가고 모든 네트워크 연결이 끊어집니다. 이 문제가 있는 DAT 파일은 개별 워크스테이션은 물론 도메인에 연결된 워크스테이션도 감염시킬 수 있습니다. "ePolicyOrchestrator"를 사용하여 바이러스 정의 파일을 업데이트하면 문제가 있는 이 DAT 파일의 확산이 가속화되는 것으로 보입니다. ePolicyOrchestrator는 일반적으로 기업에서 "DAT" 파일을 업데이트하는 데 사용되지만 영향을 받는 시스템의 네트워크 연결이 끊기므로 문제가 있는 서명을 취소할 수 없습니다.

Svchost.exe는 Windows 시스템에서 가장 중요한 파일 중 하나이며 거의 모든 시스템 기능에 대한 서비스를 호스팅합니다. Svchost.exe가 없으면 Windows를 전혀 시작할 수 없습니다.

두 사건은 14년의 간격을 두고 있지만 이러한 업데이트가 어떻게 테스트 랩에서 프로덕션 서버로 흘러들어갔는지 같은 의문점을 공유하고 있습니다. 이론적으로 이러한 문제는 테스트 프로세스 초기에 발견되고 해결되어야 합니다.

그들은 누구입니까?

George Kurtz는 뉴저지 주 파시파니-트로이 힐스에서 자랐으며 파시파니 고등학교에 다녔습니다.

Kurtz는 4학년 때 Commodore 컴퓨터에서 비디오 게임 프로그래밍을 시작했다고 말했습니다. 고등학교에서는 초기 온라인 커뮤니케이션 플랫폼인 게시판 시스템이 구축되었습니다.

그는 Seton Hall University에서 회계학 학위를 취득했습니다.

그는 나중에 Foundstone을 설립하고 McAfee의 최고 기술 책임자(CTO)를 역임했습니다.

현재 George Kurtz는 Dmitri Alperovitch와 공동 창립한 사이버 보안 회사인 CrowdStrike의 CEO로 재직하고 있습니다.

그는 사업적 성과 외에도 레이싱 드라이버이기도 합니다.

프라이스 워터하우스와 파운드스톤

대학 졸업 후 Kurtz는 Price Waterhouse에서 공인회계사(CPA)로 경력을 시작했습니다.

1993년 Price Waterhouse는 Kurtz를 새로 형성된 보안 그룹의 첫 번째 직원 중 한 명으로 만들었습니다.

1999년에 그는 Stuart McClure 및 Joel Scambray와 함께 네트워크 관리자를 위한 네트워크 보안 서적인 Hacking Exposed를 공동 집필했습니다. 이 책은 60만 부 이상 팔렸으며 30개 이상의 언어로 번역되었습니다.

그해 말, 그는 보안 컨설팅을 전문으로 하는 최초의 회사 중 하나인 사이버 보안 회사인 Foundstone을 설립했습니다. Foundstone은 취약성 관리 소프트웨어 및 서비스를 전문으로 하며 많은 Fortune 100대 기업을 고객으로 두고 있는 널리 알려진 사고 대응 비즈니스를 개발했습니다.

맥아피

McAfee는 2004년 8월에 Foundstone을 8,600만 달러에 인수했고 Kurtz는 McAfee의 수석 부사장 겸 위험 관리 총괄 관리자가 되었습니다. 재직 기간 동안 그는 회사의 보안 위험 관리 전략 개발을 도왔습니다.

2009년 10월 McAfee는 그를 글로벌 최고 기술 책임자(CTO) 겸 부사장으로 임명했습니다.

시간이 지남에 따라 Kurtz는 기존 보안 기술이 새로운 위협의 속도를 따라잡지 못한다고 느꼈기 때문에 속도가 느린 것에 대해 좌절감을 느꼈습니다.

CrowdStrike를 만들게 된 영감 중 하나는 비행기에서 옆에 앉아 노트북에 McAfee 소프트웨어가 로드될 때까지 15분 동안 기다리는 승객을 보았을 때였습니다.

크라우드스트라이크

2011년 11월 Kurtz는 사모펀드 회사 Warburg Pincus에 "상주 기업가"로 합류하여 다음 프로젝트인 CrowdStrike 작업을 시작했습니다.

2012년 2월, 그는 전 Foundstone CFO인 Gregg Marston 및 Dmitri Alperovitch와 힘을 합쳐 공식적으로 CrowdStrike를 설립했습니다.

CrowdStrike는 안티 맬웨어 및 안티 바이러스 제품(McAfee의 사이버 보안 접근 방식)에서 들어오는 위협을 찾아내기 위해 해커가 사용하는 기술을 식별하는 것으로 초점을 전환합니다. 그리고 고객 컴퓨터의 소프트웨어 부담을 줄이기 위해 "클라우드 우선" 모델을 개발했습니다.

2017년 5월 CrowdStrike의 가치는 10억 달러 이상으로 평가되었습니다. 2019년 회사의 나스닥 상장은 미화 6억 1,200만 달러였으며 가치는 미화 66억 달러였습니다.

2020년 7월 IDC 보고서에서는 CrowdStrike를 가장 빠르게 성장하는 엔드포인트 보안 소프트웨어 공급업체로 선정했습니다.

2024년에도 Kurtz는 CrowdStrike의 사장 겸 CEO로 남을 것입니다.

물론 세상은 거대한 풀뿌리 팀일 뿐입니다.

참고자료:

https://x.com/MalwareUtkonos/status/1814777806145847310

https://www.businessinsider.com/crowdstrike-ceo-george-kurtz-tech-outage-microsoft-mcafee-2024-7

https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/

https://www.zdnet.com/article/defective-mcafee-update-causes-worldwide-meltdown-of-xp-pcs/