국내 기업들도 당했다! MS 익스체인지 서버 취약점 사고사례 살펴보니
(20-05-31)
국내 기업들도 당했다! MS 익스체인지 서버 취약점 사고사례 살펴보니
미국에서 역대급 해킹사고로 손꼽히고 RSA 콘퍼런스에서 새로운 제로데이가 발표되자 5분 만에 해커들이 스캔을 시작하기도 한 ‘MS 익스체인지 서버(MS Exchange Server) 취약점’ 사고가 당초 알려
www.boannews.com
한국인터넷진흥원, MS 익스체인지 서버 취약점 사고사례 담은 보고서 발간
취약점 패치 진행했어도 이미 시스템 장악당했다면 별도의 조치 필요해
MS 익스체인지 서버
마이크로소프트가 개발한 오피스 서버로 메시징, 협업 소프트웨어이다.
주로 윈도우 서버에서 Acitve Directory를 기반으로 전자 메일 서버로 이용된다.
MS 익스체인지 서버 취약점을 악용한 공격 기법 개요
1. 대상 선정 (Reconnaissance)
공격자가 공격 성공 가능성이 높은 대상을 찾는 단계이다.
취약점 스캐너 도구, 온라인 스캔 정보 사이트를 활용하기도 하고, 직접 무작위 포트 스캔 등을 통해 취약한 메일 서버 파악한다.
2. 초기 공격 (Initial Access), 권한상승(Privilege Escalation)
공격자는 메일서버의 취약점(CVE-2021-26855)을 공격할 수 있는 공격코드(Poc) 등을 이용해 공격을 수행한다.
성공 시 메일 서버에 침투할 수 있는 일부 권한을 획득하게 된다.
3-1. 파일 쓰기 취약점 실행(Execution)
공격자는 임의의 경로로 파일을 생성하거나 수정할 수 있는 파일 쓰기 취약점(CVE-2021-26858 또는 CVE-2021-27065)을 악용한다. 공격자는 이를 발판으로 4-1(지속 공격)에서 웹 셸을 생성하고 추가 공격을 할 수 있다.
3-2 역직렬화 취약점 실행(Execution)
역직렬화 취약점은 CVE-2021-26857, 직렬화된 수신 데이터를 다시 객체로 변형하는 과정에서 발생하는 취약점이다.
공격자는 메일 서버에 침투한 후 3-1의 방법(파일 쓰기 취약점 실행)을 사용하지 않더라도 역직렬화 취약점으로 관리자의 권한을 획득하여 시스템을 장악할 수 있다. 이후 공격자는 4-2의 공격 방법(권한상승)으로 이어간다.
4-1 지속 공격(Persistence)
공격자는 3-1에서 파일 쓰기 취약점을 사용했으며. 이를 통해 공격자는 웹셸을 생성하거나 업로드 했다. 이후 공격자는 이 웹셸을 통해 메일 서버에 지속적으로 접근한다.
4-2 권한상승(Privilege Escalation)
공격자는 3-2의 역직렬화 취약점을 통해 시스템의 권한을 획득했다. 따라서 공격자는 메일서버를 향후 공격자가 원하는 대로 사용하기 위해 다양한 추가 공격이 가능하다. 실제 공격자는 추가 공격을 위한 다양한 시스템 명령어들을 수행했는데, 그중 대표적인 것으로 배치파일(. bat)이나 파워쉘 스크립트를 사용해 주기적으로 악성 코드에 계속 감염될 수 있는 환경을 만드는 것이 있다.
5. 추가 공격
공격자는 이후 자신의 목적에 따른 공격을 수행한다.
사례분석 1 : 아웃룩을 통한 2차 감염 시도
파일 쓰기 취약점(CVE-2021-26858 또는 CVE-2021-27065)을 악용한 경우이다.
공격자는 검색을 통해 대상을 물색한 후 취약점(CVE-2021-26855) 공격코드를 주입해 메일서버 권한을 획득했다. 이후 OAB(Offline Address Book) 설정 파일에 한 줄 웹셸을 삽입해 내부 전파를 시도했다.
사례분석 2 : 관리자 권한 획득 후 계정 정보 유출
취약점 코드(CVE-2021-26855)를 주입해 또 다른 피해기업의 익스체인지 서버에 침투했다.
이 기업을 공격한 이는 웹셸을 통해 악성코드를 업로드하고, 관리자 권한 획득을 위한 침투를 이어갔다. 이 과정에서 공격자는 역직렬화 취약점(CVE-2021-26857)을 사용했으며, 관리자 권한으로 악성 행위를 하는 파워쉘 코드를 윈도우 스케줄러에 등록했다.
파워쉘 코드는 주기적으로 추가 악성코드를 다운받아 실행하는 내용으로, 공격자는 이를 통해 원하는 목적의 악성코드를 추가로 설치하거나 최신 버전으로 유지할 수 있었다. 이러한 방법을 이용해 공격자는 IIS에서 호출하는 dll 형태의 백도어 악성코드를 설치해 IIS 계정 정보를 유출한 것으로 추정된다.
'Security Script' 카테고리의 다른 글
| [보안 뉴스 스크립트] 06. njRAT 악성코드 (0) | 2021.06.09 |
|---|---|
| [보안 뉴스 스트립트] 05. 스미싱 (0) | 2021.06.08 |
| [보안 뉴스 스크립트] 04. 딥웹 / 다크웹 (0) | 2021.06.07 |
| [보안 뉴스 스크립트] 03. 엣지 브라우저 'IE 모드' (0) | 2021.06.05 |
| [보안 뉴스 스크립트] 02. 랜섬웨어 공격 (0) | 2021.06.04 |