크라우드스트라이크사의 팰콘 센서 소프트웨어의 잘못된 업데이트로 발생함.
윈도우 부팅 시 팰콘 센서 SW가 자동연계 실행.
팰콘 센서 SW 기능은악성코드 패턴 및 흔적 분석, 악성코드 감지.
부팅과 연계되어 실행되어 문제 발생 시 PC 부팅 안됌.
.sys 파일은 커널 드라이브는 아니지만, 채널 파일이라는 특수 파일.
채널 파일(291)은 악성코드가 명명 파이프 사용 추정 정의 파일.
채널 갱신은 하루에도 몇번씩 상시로 이루어짐. 업데잍으에서는 파일에 하자가 존재해 컴퓨터를 마비 시킨 것.
채널 파일이 모두 0(NULL)로 채워져 있어 해당 파일을 팰콘 센서 커널 모드 드라이버인 CSAgent.sys 가 비정상 적 파일을 읽고 적절한 오류 처리 없이 죽어버리며 부팅도 막아버리는 것.
채널 파일 자체는 실행 가능한 커널 코드가 아니지만, 채널 파일을 읽고 동작하는 CSAgent.sys가 커널 코드이기 때문에 시스템 부팅단계까지 문제가 발생하는 것.
조치 방법으로는 문제가 되는 파일을 삭제 또는 패치 이전으로 롤백.
그러나 패치가 완료된 시스템에서는 PC가 부팅되지 않는 오류가 발생하므로 엔지니어가 직접 해당 PC에 물리적으로 접근해 안전 모드 부팅을 해야 함.
- 호주에서는 비트로커 키(윈도우 PRO 버전 내장 디스크 암호화 프로그램)을 사용하는 PC를 빠르게 부팅하기 위해 아래와 같은 방법을 사용함.
- 비트로커 키 생성 : 워크스테이션의 비트로커 키 생성.
- 파워쉘 스크립트를 사용해 워크스테이션의 호스트 이름으로 비트로커 키를 검색.
- 파워쉘에서 비트로커 키를 바코드 형식으로 변환
- 파워쉘에서 바코드 형식을 바코드 이미지 파일로 생성
- 생성된 바코드 이미지 파일을 바코드 스캐너로 읽어 부팅에 사용.
국내에서 사용되는 EDR은 아래와 같은 이유로 인해 안전하다고 주장.
1. 에이전트가 커널 레벨이 아닌 어플리케이션 레벨에서 수행되어 오류가 발생하더라도 에이전트 프로세스만 종료될 뿐 시스템 BSOD(블루스크린)이 발생하지 않는다.
2. 고객사별 EDR 서버가 구축되어 고객사가 제품 업데이트를 통제 가능. (어떠한 경우라도 전체 고객사 전체 단말을 한꺼번에 업데이트 하지 않음)
3. 에이전트 문제로 인한 BSOD 반복 경우 에이전트 동작을 긴급 정지하는 기능을 사용
4. 내부 품질 관리 프로세스 및 자동화 QA 시스템..
제어판\시스템 및 보안\BitLocker 드라이브 암호화
요약.
클라우드스트라이크 보안 플랫폼 '팰컨 센서'는 악성코드 방지 SW이다.
팰컨 센서의 SW업데이트 중, 잘못된 코드(부적절한 오류 처리) 파일로 인해 시스템 부팅 단계까지 오류가 발생함.
이는 펠컨 센서가 커널 모드 드라이버를 사용하는 커널 코드로 구성되어 있기 때문임.
클라우드스트라이크 사는 즉시 업데이트 롤백을 했지만 이미 업데이트를 받고 롤백하지 않은 업체(항공사, 등)은 즉각적인 피해가 발생함.
