2024년 7월 19일 장애에 대한 기술적 세부 사항

2024년 7월 20일

| CrowdStrike | 경영진 관점

 

발생 배경

2024년 7월 19일 04:09 UTC(한국시간 13:09)에 지속적인 운영 일환으로 CrowdStrike는 Windows 시스템에 대한 센서 구성 업데이트를 제공했습니다. 센서 구성 업데이트는 Falcon 플랫폼의 지속적인 보호 메커니즘의 일부분입니다. 이 구성 업데이트로 인해 로직 오류가 발생하여 영향을 받은 시스템에서 시스템 충돌 및 블루스크린(BSOD)장애를 초래했습니다.

시스템 충돌을 일으킨 센서 구성 업데이트는 2024년 7월 19일 금요일 05:27 UTC(한국 시간 14:27)에 수정되었습니다.

이 이슈는 사이버 공격과 관련성이 없으며, 이에 따른 결과도 아닙니다. 

영향도

2024년 7월 19일 금요일 04:09 UTC (한국시간 13:09)부터 2024년 7월 19일 금요일 05:27 UTC (한국시간 14:27) 사이에 온라인 상태였던 Windows 버전 7.11 이상 버전을 탑재한 시스템에, Falcon 센서를 실행 중이었던 고객은 영향을 받을 수 있습니다. 

04:09 UTC(한국시간 13:09)부터 05:27 UTC(한국시간 14:27)에 업데이트된 구성을 다운로드 받은 Windows 7.11과 및 이상 버전을 탑재한 시스템 중, Falcon 센서가 작동 중이었던 시스템에서 충돌이 발생할 수 있습니다.

센서 구성 파일

위에서 언급한 구성 파일은 “채널 파일” 이라고 하며, Falcon 센서에서 사용하는 행동 보호 메커니즘(behavioral protection mechanism)의 일부입니다. 채널 파일에 대한 업데이트는 센서 작동의 정상적인 부분이며 CrowdStrike에서 발견한 새로운 전략, 기술 및 절차에 대응하여 하루에 여러 차례 진행됩니다. 이는 새로운 프로세스가 아니며, Falcon이 시작된 이래로 존재해 왔습니다.

기술적 세부 사항

Windows 시스템에서 채널 파일은 다음 디렉토리에 있습니다:

C:\Windows\System32\drivers\CrowdStrike\

로 시작하고 파일 이름이 ” C- “로 시작합니다.각 채널 파일에는 고유 식별자로 번호가 지정됩니다. 이 이벤트에서 영향을 받는 채널 파일은 291이며 파일 이름이 ” C-00000291- ” 로 시작하고 확장자가 .sys로 끝나는 파일입니다. 채널 파일은 확장자가 SYS로 끝나지만 커널 드라이버는 아닙니다.

채널 파일 291은 Falcon이 Windows 시스템에서 명명된 파이프(named pipe)1 실행을 평가하는 방법을 제어하는 역할을 합니다. 명명된 파이프(Named Pipes)는 Windows에서 일반적인 프로세스 간 또는 시스템 간 통신에 사용됩니다.

04:09 UTC(한국시간 13:09)에 발생한 업데이트는 사이버 공격에서 일반적인 C2 프레임워크에서 사용되는, 신규로 관찰된 악의적인 명명된 파이프(named pipe)를 대상으로 설계되었습니다. 하지만, 이 구성 업데이트는 운영 체제 충돌을 초래하는 논리적 오류 (Logic Error)를 발생시켰습니다. 

채널 파일 291

CrowdStrike는 채널 파일 291의 콘텐츠 업데이트를 통해 논리적 오류를 수정했습니다. 업데이트된 논리(logic) 외에 채널 파일 291에 대한 추가 변경 사항은 배포되지 않습니다. Falcon은 여전히 명명된 파이프의 남용을 평가하고 보호하고 있습니다. 

이는 채널 파일 291 또는 다른 채널 파일에 포함된 Null Bytes와 관련이 없습니다. 

해결 방법

최신 해결 방법 권장 사항 및 정보는 블로그 또는 지원 포털에서 확인할 수 있습니다. 

일부 고객에게는 특정 지원 요구 사항이 있을 수 있으므로 저희에 직접 문의해 주시기 바랍니다.

현재 영향을 받지 않는 시스템은 예상대로 계속 운영되고 보호 기능을 계속 제공하며 향후에도 이 이벤트가 발생할 위험이 없습니다.

Linux 또는 macOS를 실행하는 시스템은 채널 파일 291을 사용하지 않으므로 영향을 받지 않았습니다. 

근본 원인 분석

저희는 이 문제가 어떻게 발생했는지 파악하고 있으며, 이 논리적 오류가 어떻게 발생했는지 파악하기 위해 철저한 근본 원인 분석을 진행하고 있습니다. 이러한 노력은 계속될 것입니다. 프로세스를 강화하기 위해 개선할 수 있는 모든 기본 또는 워크플로우 개선 사항을 파악하기 위해 최선을 다하고 있습니다. 조사가 진행됨에 따라 근본 원인 분석 결과를 업데이트 하겠습니다.

 

¹ https://learn.microsoft.com/en-us/windows/win32/ipc/named-pipes