□ 개요
 o CrowdStrike社가 배포한 Falcon제품군 최신 패치 적용 시 윈도 시스템이 비정상 종료(블루스크린) 되는 문제 발생
 o 해당 S/W를 운용 중인 각 기관에서는 보안 조치 권고

 □ 설명
 o CrowdStrike社 최신 Falcon제품군 패치 시, Windows 시스템 비정상 종료

□ 긴급 조치 방안

< 방법1: 안전 모드에서 문제 파일 삭제 >
1. 안전 모드로 부팅 → 복구 화면에서 "고급 복구 옵션 보기"를 클릭 → 고급 복구 옵션 메뉴에서 '문제 해결'을 선택 →  '고급 옵션'을 선택 → '시작 설정'을 선택하고 '다시 시작'을 클릭 → 재부팅 후 4 또는 F4 키를 눌러 안전 모드에서 PC를 시작
2. 안전 모드에서 명령 프롬프트(관리자) 또는 Windows PowerShell(관리자) 실행
3. 명령 프롬프트에서 cd C:WindowsSystem32driversCrowdStrike 명령을 입력해 CrowdStrike 디렉터리로 이동
4. 영향을 받는 파일을 삭제하려면 C-00000291*.sys 패턴과 일치하는 파일 검색
5. dir C-00000291*.sys 패턴과 일치하는 파일을 실행
  * 예를 들어 C-00000291abc.sys와 같은 이름을 지정할 수 있음
6. 파일을 식별했으면 del C-00000291.sys를 사용하여 파일을 삭제
 * 위의 경우 del C-00000291.sys는 시스템에 표시된 파일의 이름이며 다른 것일 수 있으며, 파일을 올바르게 식별하려면 단계를 따르고 dir 명령을 사용해야 함

< 방법2: 안전 모드에서 크라우드스트라이크(CrowdStrike) 폴더 이름 변경 >
1. 안전 모드에서 명령 프롬포트 실행
2. 명령 프롬프트에서 드라이버 디렉터리(cd windowssystem32drivers)로 이동
3. CrowdStrike 폴더의 이름을 'ren CrowdStrike CrowdStrike_old'로 변경

< 방법3: 레지스트리 편집기를 활용해 CSAgent 서비스 차단 >
1. 안전 모드에서 '윈도 레지스트리 편집기' 실행
2. 'HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSAgent' 경로로 이동
3. CSAgent 키의 오른쪽 창에서 시작(Start) 항목을 찾아 두 번 클릭으로 값을 편집
4. 값 데이터를 1(서비스가 자동으로 시작되도록 설정됨)에서 4(서비스 사용 안 함)로 변경
5. 확인을 클릭해 변경 사항을 저장하고 레지스트리 편집기를 닫고 PC를 재부팅

□ 주의사항
 o 긴급조치 전후 발생할 수 있는 외부 침입에 대비하여 보안강화
 o CrowdStrike사 제품군 업데이트 삭제 등을 사칭하는 파일 등에 주의

□ 기타 문의사항
 o 크라우드스트라이크 기술지원 센터 : 010-3500-5609 (한국)

  ※ 홈페이지 주소 : https://www.crowdstrike.com/ko-kr/