IIS 웹 서버 침투... 백도어·HTran·IIS 모듈 악성코드 설치 “웹 서버 장악까지 2시간 안 걸려”
프록덤프 도구 이용해 자격증명 정보를 탈취, 추가 악성행위로 이어질 수 있어
공격 표면 관리, 노출 자산을 식별 및 최신 보안 패치해야
[보안뉴스 박은주 기자] 국내 웹 서버를 대상으로 불법 도박 광고 사이트를 연결하는 악성코드가 유포되고 있다. 침해당한 국내 웹 사이트 정보를 포털 사이트에 검색하면 불법 도박 관련 페이지가 노출되는 방식이다.
▲침해당한 웹 사이트를 검색하자 온라인 불법 도박 페이지가 노출된다[자료=ASEC]
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 부적절하게 관리되는 국내 윈도우 IIS(Internet Information Services) 웹 서버가 최초 침투 경로였다. 이후 공격자는 △미터프리터 백도어 △HTran(포트 포워딩 도구) △IIS 모듈 악성코드 도구 등을 설치하고 프록덤프(ProcDump)를 이용해 서버 자격 증명 정보를 탈취했다.
▲연결된 온라인 불법 도박 페이지[자료=ASEC]
악성코드 도구가 설치되는 IIS 모듈이란 인증, HTTP 응답, 로깅 등 웹 서버의 확장 기능을 지원하는 모듈을 말한다. 해당 악성코드는 모듈이 설치된 웹 서버 HTTP 헤더 문자열을 감시하고 특정 조건에 변조된 응답 값을 보낸다. 이에 따라 국내 및 중국 포털 사이트에 불법 도박 사이트 광고가 노출된다. 만일 사용자가 해당 링크를 클릭한다면, 불법 도박 사이트로 연결된다. 이러한 공격은 추후 각종 악성 행위로 이어질 수 있어 각별한 주의가 필요하다.
ASEC에 따르면 공격자는 Ipconfig, Systeminfo 등 다양한 정상 유틸리티를 실행해 IIS 모듈 악성코드 설치 전 공격 대상의 정보를 수집했다. 이후 공격자 IP와 포트 번호를 전달받아 미터프리터 백도어를 실행시킨다. 백도어는 공격자 서버 통신을 수행해 쉘코드를 수신한다.
▲HTran 설치 로그[자료=ASEC]
백도어 설치 이후, w3wp.exe 프로세스를 통해 HTran 유틸리티도 설치된다. HTran은 깃허브에 소스코드가 공개된 포트 포워딩 도구다. 포트 포워딩이란 특정 포트로 받은 데이터를 다른 포트로 전달하는 기능을 말한다. 공격자가 HTran을 사용하는 사례는 대부분 RDP 포트로 원격 통신을 하기 위함으로 알려져 있다.
위처럼 미터프리터 백도어, HTran까지 설치한 공격자는 시스템에 대한 지속성 유지와 거점 확보를 위해 Net 명령으로 공격자 계정을 생성할 수 있다. 공격자 계정을 생성했다면 공격 대상 웹 서버의 자격증명 정보가 없어도 외부에서 쉽게 접근할 수 있다. ASEC는 “공격 대상 최초 접근부터 거점 확보와 지속성 유지까지 웹 서버를 장악하는 데 채 2시간이 걸리지 않았다”고 설명했다. 이후 IIS 모듈 악성코드를 생성하게 된다.
▲IIS 악성 모듈의 메타 태그 정보 확인 키워드[자료=ASEC]
포털 사이트 검색 시 불법 도박사이트가 보이는 것은 검색 엔진에 웹 서버가 노출됐기 때문이다. 검색 엔진이 웹 페이지에 접근해 정보를 수집하는 과정에서 검색 엔진 HTTP 헤더 정보가 웹 서버에 전달된다. 악성코드는 헤더 값이 특정 키워드에 매칭되면, 검색 엔진에서 접근을 요청하는 것으로 판단한다. 따라서 온라인 불법 도박 페이지의 Title, Keyword, Description의 메타 태그 정보를 검색 엔진에 전달하는 것이다.
더불어 공격자는 IIS 모듈 악성코드 설치 이후 웹 서버 메모리를 복사할 수 있는 프록덤프 도구를 이용해 웹 페이지 서버의 lsass.exe 프로세스 메모리를 데이터 파일로 저장했다. 이는 계정탈취 도구인 미미카츠(Mimikatz)와 유사하게 자격증명 정보를 탈취하는 행위다. ASEC는 웹 서버와 연결된 다른 서버로 측면이동을 위해 프록덤프를 악용했을 것으로 추정하고 있다.
현재 쇼단, FOFA와 같은 검색 엔진으로 전 세계에 인터넷에 연결된 △디바이스 △IP △포트 △사용 중인 서비스 △운영체제 정보를 쉽게 확인할 수 있다. 공격자는 이를 악용해 부적절하게 관리되고 있는 윈도우 웹 서버를 노려 초기 침투를 시도한다. 이후 거점 확보, 지속성 유지, 목표 달성, 내부 측면이동을 위한 자격증명 정보 등을 획득한다.
앞으로 사이버 공격자들은 검색 엔진을 통한 공격 대상을 찾아 나설 것으로 예상된다. 따라서 기업 보안 담당자는 공격 표면 관리(Attack Surface Management)로 외부에 노출될 수 있는 자산을 식별하고 지속해서 최신 보안 패치 등 관리하는 게 바람직하다.
[박은주 기자(boan5@boannews.com)]
프록덤프 도구 이용해 자격증명 정보를 탈취, 추가 악성행위로 이어질 수 있어
공격 표면 관리, 노출 자산을 식별 및 최신 보안 패치해야
[보안뉴스 박은주 기자] 국내 웹 서버를 대상으로 불법 도박 광고 사이트를 연결하는 악성코드가 유포되고 있다. 침해당한 국내 웹 사이트 정보를 포털 사이트에 검색하면 불법 도박 관련 페이지가 노출되는 방식이다.
▲침해당한 웹 사이트를 검색하자 온라인 불법 도박 페이지가 노출된다[자료=ASEC]
안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 부적절하게 관리되는 국내 윈도우 IIS(Internet Information Services) 웹 서버가 최초 침투 경로였다. 이후 공격자는 △미터프리터 백도어 △HTran(포트 포워딩 도구) △IIS 모듈 악성코드 도구 등을 설치하고 프록덤프(ProcDump)를 이용해 서버 자격 증명 정보를 탈취했다.
▲연결된 온라인 불법 도박 페이지[자료=ASEC]
악성코드 도구가 설치되는 IIS 모듈이란 인증, HTTP 응답, 로깅 등 웹 서버의 확장 기능을 지원하는 모듈을 말한다. 해당 악성코드는 모듈이 설치된 웹 서버 HTTP 헤더 문자열을 감시하고 특정 조건에 변조된 응답 값을 보낸다. 이에 따라 국내 및 중국 포털 사이트에 불법 도박 사이트 광고가 노출된다. 만일 사용자가 해당 링크를 클릭한다면, 불법 도박 사이트로 연결된다. 이러한 공격은 추후 각종 악성 행위로 이어질 수 있어 각별한 주의가 필요하다.
ASEC에 따르면 공격자는 Ipconfig, Systeminfo 등 다양한 정상 유틸리티를 실행해 IIS 모듈 악성코드 설치 전 공격 대상의 정보를 수집했다. 이후 공격자 IP와 포트 번호를 전달받아 미터프리터 백도어를 실행시킨다. 백도어는 공격자 서버 통신을 수행해 쉘코드를 수신한다.
▲HTran 설치 로그[자료=ASEC]
백도어 설치 이후, w3wp.exe 프로세스를 통해 HTran 유틸리티도 설치된다. HTran은 깃허브에 소스코드가 공개된 포트 포워딩 도구다. 포트 포워딩이란 특정 포트로 받은 데이터를 다른 포트로 전달하는 기능을 말한다. 공격자가 HTran을 사용하는 사례는 대부분 RDP 포트로 원격 통신을 하기 위함으로 알려져 있다.
위처럼 미터프리터 백도어, HTran까지 설치한 공격자는 시스템에 대한 지속성 유지와 거점 확보를 위해 Net 명령으로 공격자 계정을 생성할 수 있다. 공격자 계정을 생성했다면 공격 대상 웹 서버의 자격증명 정보가 없어도 외부에서 쉽게 접근할 수 있다. ASEC는 “공격 대상 최초 접근부터 거점 확보와 지속성 유지까지 웹 서버를 장악하는 데 채 2시간이 걸리지 않았다”고 설명했다. 이후 IIS 모듈 악성코드를 생성하게 된다.
▲IIS 악성 모듈의 메타 태그 정보 확인 키워드[자료=ASEC]
포털 사이트 검색 시 불법 도박사이트가 보이는 것은 검색 엔진에 웹 서버가 노출됐기 때문이다. 검색 엔진이 웹 페이지에 접근해 정보를 수집하는 과정에서 검색 엔진 HTTP 헤더 정보가 웹 서버에 전달된다. 악성코드는 헤더 값이 특정 키워드에 매칭되면, 검색 엔진에서 접근을 요청하는 것으로 판단한다. 따라서 온라인 불법 도박 페이지의 Title, Keyword, Description의 메타 태그 정보를 검색 엔진에 전달하는 것이다.
더불어 공격자는 IIS 모듈 악성코드 설치 이후 웹 서버 메모리를 복사할 수 있는 프록덤프 도구를 이용해 웹 페이지 서버의 lsass.exe 프로세스 메모리를 데이터 파일로 저장했다. 이는 계정탈취 도구인 미미카츠(Mimikatz)와 유사하게 자격증명 정보를 탈취하는 행위다. ASEC는 웹 서버와 연결된 다른 서버로 측면이동을 위해 프록덤프를 악용했을 것으로 추정하고 있다.
현재 쇼단, FOFA와 같은 검색 엔진으로 전 세계에 인터넷에 연결된 △디바이스 △IP △포트 △사용 중인 서비스 △운영체제 정보를 쉽게 확인할 수 있다. 공격자는 이를 악용해 부적절하게 관리되고 있는 윈도우 웹 서버를 노려 초기 침투를 시도한다. 이후 거점 확보, 지속성 유지, 목표 달성, 내부 측면이동을 위한 자격증명 정보 등을 획득한다.
앞으로 사이버 공격자들은 검색 엔진을 통한 공격 대상을 찾아 나설 것으로 예상된다. 따라서 기업 보안 담당자는 공격 표면 관리(Attack Surface Management)로 외부에 노출될 수 있는 자산을 식별하고 지속해서 최신 보안 패치 등 관리하는 게 바람직하다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
