0xNews - MS Exchange 공격을 위한 ProxyLogon Poc Exploit 발견으로 인해 더 큰 위협 경고
0xNews - MS Exchange 공격을 위한 ProxyLogon Poc Exploit 발견으로 인해 더 큰 위협 경고
미국 CISA Cybersecurity and Infrastructure Security Agency 와 FBI Federal Bureau of Investigation 의 공동 권고 경고
CISA 와 FBI 는 공격자가 이번 취약점을 악용
네트워크 손상
정보 탈취
데이터 암호화를 통한 몸값 협상
실제 사용자 시스템 공격을 통한 파괴적 공격 행위 가능 등의 행동 가능성 경고
또한 다크웹 등에 피해 네트워크 정보 판매 등 추가 위협 가능
중국 사이버 공격 그룹이 수행한 이전 활동을 살펴보면
농업, 생명 공학, 항공 우주, 국방, 법률 서비스 등 다양한 산업 분야의 지방 정부, 학술 기관 등 가리지 않고 공격한 것으로 분석
2021년 3월 2일 Volexity 연구팀에서 이번 공격 최초 탐지 후 MS 에 보고
이후 추적 결과 2021년 1월 3일에 이번 취약점을 악용한 공격이 시작된 것으로 파악
ProxyLogon 으로 명명
성공적으로 공격에 성공하면 공격자가 피해자의 Exchange 서버에 접속
엔터프라이즈 네트워크에 대한 지속적인 시스템 접속과 제어 권환 획득 가능
MS 는 중국에서 지원하는 해커 그룹 Hafnium 을 지목
슬로바키아 보안회사 ESET 에서 추가 발표
원격 코드 실행 가능성이 있는 최소 10개 이상의 다른 위협 그룹을 추가로 발견
피해자의 이메일 서버에 악성 임플란트를 설치하는 형태
https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/
도메인툴 연구팀에서는 10개 이상 각기 다른 위협 그룹은 현재까지 중국과의 연계 가능성이 발견되지 않았음
하지만 이중 몇몇 그룹은 중국 국가가 아닌 중국 법인의 지원 가능성을 확인
Palo Alto Networks 연구팀에서는 취약점을 악용하는 공격 그룹은 항상 존재
동일한 시스템을 독립적으로 대상을 삼아 대량 스캔이나 서비스를 사용
마지막으로 공격 성공 혹은 실폐 상관없이 삭제되어 추적 방지 등 여러 변형으로 파생
https://unit42.paloaltonetworks.com/china-chopper-webshell/
미국 RedCannary 연구팀에서는 Sapphire Pigeon 의 공격 그룹 추적을 통해 공격 받은 클러스터 확인
해당 클러스터에서 공격자들은 다른 시간에 일부 대상에게 여러 웹 셀을 배포
이 중 일부는 후속 활동 수행하기 전에 배포된 것으로 확인
https://redcanary.com/blog/microsoft-exchange-attacks/#clusters
ESET 는 보고서를 통해 115개 이상 국가의 공공 기관과 기업 등 5천여개 이상 이메일 서버가 사고 발생과 연관된 것으로 파악
ESET 분석 피해 국가
네덜란드 취약점 공개 연구소 DIVD Dutch Institute for Vulnerability Disclosure 에서는 전세계 26만개 서버 중 4만 6천개 서버가 ProxyLogon 취약점에 노출됐고 패치 되지 않았음을 확인
https://csirt.divd.nl/2021/03/08/Exchange-vulnerabilities-update/
MS 에서는 취약점 문제 보고 후 3월 2일 보안 패치 제공
하지만 패치 제공 후에도 웹셀 배포 역시 증가한 것을 확인
ESET 연구팀은 패치 출시된 다음날 해커 그룹에서 Exchange 서버 대상 스캔 후 공격이 더 증가한 것으로 확인
현재까지 확인된 것은 코인 채굴 캠페인 공격과의 연계점은 보이지 않음
그 외 스파이 활동에 초점을 둔 APT 해커 그룹과의 연계점 확인
익스플로잇 배포 방식이 확인되지 않았지만 공격은 더 증가할 것으로 분석
Elastic 에서는 웹셀 설치 외 Hafnium 활동과 관련된 계정 열거, 자격 증명 수집, 네트워크 검색과 같은 여러 기능을 자동화 하는 배치 스크립트를 배포하여 대상 서버에 대한 검색 확인
https://discuss.elastic.co/t/detection-and-response-for-hafnium-activity/266289/3
MS 에서는 피해를 최소화하기 위해 Github 에 게시된 익스플로잇을 제거하려고 꾸준히 수행
하지만 ProxyLogon 취약점에 대한 PoC 까지 공개
전체 원격 코드 실행 RCE Remote Code Execution 익스플로잇 체인에 PoC 가 GitHub 외 다양한 곳에서 공개된 것을 확인
몇가지 버그가 있지만 수정을 통해 테스트 후 실제 공격 가능
Praetorian 연구팀은 PoC 정보 확보
취약점 공격 가능한 버전과 패치된 버전간 차이점 식별 후 완벽하게 작동
리버스 엔지니어링을 통해 CVE-2021-26855 대상 E2E End-to-End Exploit 개발 가능한 기술 문서 공개
https://www.praetorian.com/blog/reproducing-proxylogon-exploit/
MS 에서는 공개된 취약점을 제거하기 위해서는 관련 서버에 대한 패치 적용을 권고
하지만 공격자는 이러한 취약점을 무기화하는 속도와 취약점을 찾아서 이용하는 속도가 점차 빨라지는 점을 확인
보안 조직에서는 기존 침입 대응 시나리오나 메뉴얼 등에 대해 관점의 전환이 필요
Github 링크 웹셀 디텍트
https://github.com/cert-lv/exchange_webshell_detection
Github 링크 MS Exchange CSS 테스트
https://github.com/microsoft/CSS-Exchange
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.