웹 서버를 공격하는 방법 중 웹셸을 심어두고 훗날을 도모하는 전략이 공격자들 사이에서 꽤나 인기가 높다. 이번 익스체인지 사태를 통해 이 전략은 더 큰 인기를 끌게 되었다. 웹셸에 대한 대비가 필요한 시점이다. 다행히 - 혹은 불행히도 - 크게 어렵지는 않다.
[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버 사태를 통해 차이나 초퍼(China Chopper)라는 멀웨어가 다시 한 번 이름을 떨쳤다. 차이나 초퍼는 웹셸(Web Shell)로 분류되는 악성 소프트웨어의 일종으로 지난 몇 주 동안 익스체인지 사태에 대한 조사 과정 중에 자주 나타났다. 물론 그 전에도 몇 차례 나타난 바 있다.
[이미지 = utoimage]
익스플로잇 사태란, 중국 해킹 그룹인 하프늄(Hafnium)이 마이크로소프트 익스체인지 서버에서 발견된 제로데이 취약점을 익스플로잇 한 사건으로, 이들은 침투에 성공한 뒤 차이나 초퍼라는 웹셸을 심어둔 뒤 후에 이를 백도어로 활용했다. 즉 서버가 패치된 이후에도 침투할 수 있도록 손을 써둔 것이다.
보안 업체 소포스(Sophos)의 수석 연구자인 체스터 위즈니우스키(Chester Wisniewski)는 “추후를 대비해 웹셸을 심어두는 건 공격자들 사이에 꽤나 인기 높은 전략”이라고 말하며, “비단 이번 익스체인지 사태에만 국한된 얘기는 아니”라고 경고한다. “웹셸을 통해 원격 공격자들은 웹 서버에 아무 파일이나 다운로드 할 수 있고, 이를 통해 새로운 멀웨어를 심을 수도 있게 됩니다.”
웹셸이란 무엇인가?
웹셸은 악성 스크립트 파일로, 웹 서버에 설치된다. 공격자에게 읽기, 쓰기, 실행의 권한을 부여한다. 보안 업체 이셋(ESET)의 매티우 파우(Matthieu Faou)는 “PHP, ASP, .NET 등 다양한 언어로 개발되는 것이 보통”이라고 설명한다. “즉, 공격자의 목적과 선호도에 따라 유연하게 조정될 수 있다는 뜻입니다.”
파우는 “컴퓨터 언어들과 OS들에는 사용자들이 수동으로 컴퓨터를 제어할 수 있도록 텍스트로 된 명령 실행 환경이 존재한다”며, “이를 셸(shell)이라고 부른다”고 설명한다. “윈도 사용자들이라면 ‘명령 프롬프트’나 ‘도스’라는 걸 들어보셨을 겁니다. 맥OS와 리눅스 사용자라면 배시(bash)라는 셸에 좀 더 익숙할 것이고요. 결국 웹셸이란, 웹 서버에서 실행되며, 브라우저를 통해 원격 명령 실행을 가능케 해 주는 프로그램이라고 정리할 수 있습니다.”
웹셸을 통한 전형적인 공격 시나리오에는 어떤 것이 있을까? 파우는 “웹 서버 침해부터 시작하는 공격이 전형적인 웹셸 공격 시나리오”라고 설명한다. “예를 들어 웹 애플리케이션의 취약점을 통해 스크립트 파일을 서버에 업로드 하는 경우가 있겠죠. 그런데 이 악성 파일이 인터넷을 통해 접근이 가능한 디렉토리에 심겨졌다면 어떨까요? 공격자는 원격에서 이 웹셸을 작동시켜 추가 명령을 실행시킬 수 있게 됩니다.”
공격자들은 어떤 방식으로 웹셸을 심을까? 대부분의 경우 웹셸들은 웹 애플리케이션의 취약점을 통해 ‘임플란트 방식’으로 심겨진다고 위즈니우스키는 설명한다. “여태까지 제가 발견한 웹셸들은 대부분 워드프레스나 드루팔과 같은 CMS 소프트웨어를 기반으로 한 서버들 중 최신화 되지 않은 곳에서 발견되었습니다.”
마이크로소프트 익스체인지 사태에서 공격자들은 아웃룩 웹 액세스(Outlook Web Access)에서 발견된 원격 코드 실행 취약점(당시 제로데이 취약점이었다)을 통해 웹셸을 심은 것으로 분석됐다. “한 번 심어두고 나서는, 웹셸이 심겨진 곳의 URL을 파악한 뒤 나중에 이 URL로 접속할 수 있습니다.” 파우의 설명이다.
접속한 뒤 공격자들은 악성 콘텐츠를 웹셸로 전달하고 실행시킬 수 있게 된다. 가짜뉴스를 해당 서버에서 생성하거나 전달할 수도 있고, 스크립트를 다시 작성할 수도 있으며, 파일이나 프로토콜을 조작하는 것도 가능하다. 악성 링크를 뿌릴 수도 있다. “서버에 웹셸을 심고 이를 공격자가 자신의 브라우저로 발동시키는 단계에 다다르면, 그 브라우저는 일종의 C&C 인터페이스가 되는 겁니다.”
익스체인지 사태가 시급히 해결되어야 하는 건, 차이나 초퍼라는 웹셸이 유독 무서워서가 아니다. “웹셸은 결국 웹셸을 뿐이죠. 특별할 건 없습니다. 다만 이번 사태를 통해 공격자들이 익스체인지 서버가 취약하다는 걸 잘 이해하게 됐고, 실제로 익스체인지를 노리는 공격이 급증하고 있죠. 웹셸이라는 공격 기법에 대해 더 익숙해질 것이고요. 익스체인지 사태를 기점으로 웹셸 공격은 한 차원 더 발전할 것으로 예상하고 있습니다.”
웹셸 방어, 어떻게 해야 하나?
일반적인 ‘사이버 보안 수칙’을 잘 지키는 것 외에 특별한 웹셸 방어법이란 없다. 웹 애플리케이션들을 최신화 하고, 주기적으로 침투 테스트를 실행하며, 웹 서버들에 대한 모니터링을 함으로써 새로운 스크립트가 드롭될 때 곧바로 알아채게 하는 것이 바로 그것이다. 위즈니우스키는 “온프레미스 MS 익스체인지 서버들을 전부 패치하는 게 지금으로서는 최선의 방어법”이라고 강조한다. “애플리케이션과 서버를 가리지 않고 항상 최신화 하는 게 제일 중요합니다.”
파우는 “웹셸 공격 패턴이 앞으로도 크게 바뀌지는 않을 것”이라고 예상한다. “공격자들은 이미 수년 째 웹 서버에 웹셸을 심는 방법으로 자신들의 이익을 챙겨 왔습니다. 그리고 별다른 어려움을 겪지 않았죠. 그렇기 때문에 전략 전술에도 큰 변화는 없을 겁니다. 익스체인지 사건은 수많은 웹셸 공격 중 하나의 사건일 뿐입니다. 이런 일은 앞으로도 자주 일어날 겁니다.”
3줄 요약
1. 익스체인지 사태로 다시 한 번 주목 받게 된 웹셸.
2. 웹셸은 결국 백도어 역할을 하게 해 주는 악성 스크립트로, 취약점 익스플로잇을 통해 심겨짐.
3. 따라서 주기적이고 빠른패치 관리를 통해 막을 수 있는 공격.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버 사태를 통해 차이나 초퍼(China Chopper)라는 멀웨어가 다시 한 번 이름을 떨쳤다. 차이나 초퍼는 웹셸(Web Shell)로 분류되는 악성 소프트웨어의 일종으로 지난 몇 주 동안 익스체인지 사태에 대한 조사 과정 중에 자주 나타났다. 물론 그 전에도 몇 차례 나타난 바 있다.
[이미지 = utoimage]
익스플로잇 사태란, 중국 해킹 그룹인 하프늄(Hafnium)이 마이크로소프트 익스체인지 서버에서 발견된 제로데이 취약점을 익스플로잇 한 사건으로, 이들은 침투에 성공한 뒤 차이나 초퍼라는 웹셸을 심어둔 뒤 후에 이를 백도어로 활용했다. 즉 서버가 패치된 이후에도 침투할 수 있도록 손을 써둔 것이다.
보안 업체 소포스(Sophos)의 수석 연구자인 체스터 위즈니우스키(Chester Wisniewski)는 “추후를 대비해 웹셸을 심어두는 건 공격자들 사이에 꽤나 인기 높은 전략”이라고 말하며, “비단 이번 익스체인지 사태에만 국한된 얘기는 아니”라고 경고한다. “웹셸을 통해 원격 공격자들은 웹 서버에 아무 파일이나 다운로드 할 수 있고, 이를 통해 새로운 멀웨어를 심을 수도 있게 됩니다.”
웹셸이란 무엇인가?
웹셸은 악성 스크립트 파일로, 웹 서버에 설치된다. 공격자에게 읽기, 쓰기, 실행의 권한을 부여한다. 보안 업체 이셋(ESET)의 매티우 파우(Matthieu Faou)는 “PHP, ASP, .NET 등 다양한 언어로 개발되는 것이 보통”이라고 설명한다. “즉, 공격자의 목적과 선호도에 따라 유연하게 조정될 수 있다는 뜻입니다.”
파우는 “컴퓨터 언어들과 OS들에는 사용자들이 수동으로 컴퓨터를 제어할 수 있도록 텍스트로 된 명령 실행 환경이 존재한다”며, “이를 셸(shell)이라고 부른다”고 설명한다. “윈도 사용자들이라면 ‘명령 프롬프트’나 ‘도스’라는 걸 들어보셨을 겁니다. 맥OS와 리눅스 사용자라면 배시(bash)라는 셸에 좀 더 익숙할 것이고요. 결국 웹셸이란, 웹 서버에서 실행되며, 브라우저를 통해 원격 명령 실행을 가능케 해 주는 프로그램이라고 정리할 수 있습니다.”
웹셸을 통한 전형적인 공격 시나리오에는 어떤 것이 있을까? 파우는 “웹 서버 침해부터 시작하는 공격이 전형적인 웹셸 공격 시나리오”라고 설명한다. “예를 들어 웹 애플리케이션의 취약점을 통해 스크립트 파일을 서버에 업로드 하는 경우가 있겠죠. 그런데 이 악성 파일이 인터넷을 통해 접근이 가능한 디렉토리에 심겨졌다면 어떨까요? 공격자는 원격에서 이 웹셸을 작동시켜 추가 명령을 실행시킬 수 있게 됩니다.”
공격자들은 어떤 방식으로 웹셸을 심을까? 대부분의 경우 웹셸들은 웹 애플리케이션의 취약점을 통해 ‘임플란트 방식’으로 심겨진다고 위즈니우스키는 설명한다. “여태까지 제가 발견한 웹셸들은 대부분 워드프레스나 드루팔과 같은 CMS 소프트웨어를 기반으로 한 서버들 중 최신화 되지 않은 곳에서 발견되었습니다.”
마이크로소프트 익스체인지 사태에서 공격자들은 아웃룩 웹 액세스(Outlook Web Access)에서 발견된 원격 코드 실행 취약점(당시 제로데이 취약점이었다)을 통해 웹셸을 심은 것으로 분석됐다. “한 번 심어두고 나서는, 웹셸이 심겨진 곳의 URL을 파악한 뒤 나중에 이 URL로 접속할 수 있습니다.” 파우의 설명이다.
접속한 뒤 공격자들은 악성 콘텐츠를 웹셸로 전달하고 실행시킬 수 있게 된다. 가짜뉴스를 해당 서버에서 생성하거나 전달할 수도 있고, 스크립트를 다시 작성할 수도 있으며, 파일이나 프로토콜을 조작하는 것도 가능하다. 악성 링크를 뿌릴 수도 있다. “서버에 웹셸을 심고 이를 공격자가 자신의 브라우저로 발동시키는 단계에 다다르면, 그 브라우저는 일종의 C&C 인터페이스가 되는 겁니다.”
익스체인지 사태가 시급히 해결되어야 하는 건, 차이나 초퍼라는 웹셸이 유독 무서워서가 아니다. “웹셸은 결국 웹셸을 뿐이죠. 특별할 건 없습니다. 다만 이번 사태를 통해 공격자들이 익스체인지 서버가 취약하다는 걸 잘 이해하게 됐고, 실제로 익스체인지를 노리는 공격이 급증하고 있죠. 웹셸이라는 공격 기법에 대해 더 익숙해질 것이고요. 익스체인지 사태를 기점으로 웹셸 공격은 한 차원 더 발전할 것으로 예상하고 있습니다.”
웹셸 방어, 어떻게 해야 하나?
일반적인 ‘사이버 보안 수칙’을 잘 지키는 것 외에 특별한 웹셸 방어법이란 없다. 웹 애플리케이션들을 최신화 하고, 주기적으로 침투 테스트를 실행하며, 웹 서버들에 대한 모니터링을 함으로써 새로운 스크립트가 드롭될 때 곧바로 알아채게 하는 것이 바로 그것이다. 위즈니우스키는 “온프레미스 MS 익스체인지 서버들을 전부 패치하는 게 지금으로서는 최선의 방어법”이라고 강조한다. “애플리케이션과 서버를 가리지 않고 항상 최신화 하는 게 제일 중요합니다.”
파우는 “웹셸 공격 패턴이 앞으로도 크게 바뀌지는 않을 것”이라고 예상한다. “공격자들은 이미 수년 째 웹 서버에 웹셸을 심는 방법으로 자신들의 이익을 챙겨 왔습니다. 그리고 별다른 어려움을 겪지 않았죠. 그렇기 때문에 전략 전술에도 큰 변화는 없을 겁니다. 익스체인지 사건은 수많은 웹셸 공격 중 하나의 사건일 뿐입니다. 이런 일은 앞으로도 자주 일어날 겁니다.”
3줄 요약
1. 익스체인지 사태로 다시 한 번 주목 받게 된 웹셸.
2. 웹셸은 결국 백도어 역할을 하게 해 주는 악성 스크립트로, 취약점 익스플로잇을 통해 심겨짐.
3. 따라서 주기적이고 빠른패치 관리를 통해 막을 수 있는 공격.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
