익스체인지 사태가 정말 큰 사건이긴 한 모양이다. 오죽하면 미국 FBI가 미국 전역의 익스체인지 서버에 직접 들어가 웹셸을 청소하는 일까지 진행했을까. 권고만 내리던 국가 기관이 소매를 걷어붙이고 보안 대행 업무를 자발적으로 맡았다는 건 꽤나 의미가 크다.
[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버의 온프레미스 버전들을 FBI가 원격에서 검사해 웹셸들을 삭제할 수 있도록 법원이 허락해 준 사실이 공개됐다. 사법부가 발표한 내용에 의하면 “초기 해킹 그룹 하나가 취약한 익스체인지 서버에 남긴 웹셸을 FBI가 복제하고 삭제할 수 있도록 했다”고 하며 “성공적으로 임무가 완수되었다”고 한다.
[이미지 = Pixabay]
약 6주전, 마이크로소프트는 자사의 익스체인지 서버(Exchange Server)에서 제로데이 취약점 4개가 발견되었다고 발표했다. 공격자들이 먼저 발견한 것으로, 이미 활발한 익스플로잇 행위가 발생하고 있다고 하며 빠른 패치를 촉구했었다. 4개의 취약점을 연쇄적으로 익스플로잇 할 경우 공격자들은 익스체인지 서버에 침투해 데이터를 훔칠 수 있었다. 이 때 MS는 중국의 하프늄(Hafnium)이라는 해킹 그룹이 배후에 있다고 지적했는데, 그 후 익스체인지 서버를 공략하려는 시도가 기하급수적으로 늘어났다.
이 때문에 많은 조직들이 익스체인지 서버의 업데이트를 서둘러 진행했다. 3월 24일 MS는 전 세계 익스체인지 서버의 92%가 패치됐다고 발표했다. 하지만 패치는 ‘미래의 똑같은 공격을 방어’하는 수단이지만 ‘과거의 공격을 제거’하는 수단은 아니다. 공격자들이 이미 심어둔 악성 요소들까지 패치로 제거되지는 않기 때문이다.
하프늄의 경우, 4개의 제로데이 취약점을 통해 차이나 초퍼(China Chopper)라는 웹셸을 심어두었다고 알려져 있는데, 이 웹셸을 사용하면 취약점이 패치된 익스체인지 서버에도 침투할 수 있다고 한다. 최소 6만 개 이상의 익스체인지 서버들이 침해되었다고 사법부는 공개했다. 웹셸의 존재가 의심되는 익스체인지 서버가 그만큼 된다는 뜻이다. 하지만 사법부는 정확한 숫자까지 공개하지는 않았다.
이에 FBI는 법원에 원격 웹셸 제거를 위한 영장을 청구하면서 “피해자들 스스로가 웹셸을 제거할 확률은 극히 낮다”고 주장한 것으로 알려졌다. “일단 웹셸을 찾아낸다는 것 자체가 어려운 작업이고, 찾아낸다 하더라도 말끔히 지워내려면 일반인들이 가지고 있기 어려운 기술적인 노하우가 필요하기 때문”이라고 FBI는 주장했었다. 법원은 이를 받아들였고, FBI가 취약한 익스체인지 서버들을 검색해 웹셸을 제거하도록 했다.
사법부가 공개한 문건에 따르면 이번 임무에 가담한 FBI 요원들은 1) 웹셸에 접근해, 2) 비밀번호를 입력하고, 3) 해당 웹셸을 복사한 뒤 4) 각 웹셸들을 통해 서버들에 명령을 실행시켰다고 한다. 웹셸을 삭제하라는 명령이었다. 실험적으로 이 과정을 진행했을 때 다른 파일들에는 영향을 주지 않은 채 웹셸들이 삭제되는 것이 확인됐다고 한다. 참고로 이 명령으로 익스체인지 서버 패치까지 이뤄지지는 않았다고 한다. 또한 웹셸 외에 심겨진 멀웨어 등 악성 요소들까지 전부 제거된 것도 아니다.
이 때문에 FBI는 기본적인 웹셸 제거까지만 수행하고, 나머지 조치는 각 익스체인지 서버의 운영자들에게 일임할 계획이다. 이를 위해 FBI의 이름으로 일일이 연락해 “당신 서버에서 웹셸을 삭제했다”고 알리고 있다고 한다. 해당되는 조직들 중 연락처가 공개된 곳은 FBI.gov 도메인으로부터 이메일을 받게 될 것이라고 사법부는 알리기도 했다.
패치가 되지 않은 익스체인지 서버를 노리는 사이버 공격 시도는 현재도 거세게 이어지고 있는 상황이다. 공격자들은 제로데이의 존재가 알려진 시점부터 너도나도 달려들어 랜섬웨어나 암호화폐 채굴 코드 등을 심고 있다. 이 때문에 미국 국토안보부 산하 사이버 보안 전담 조직인 CISA가 MS의 패치를 빠르게 적용하라고 촉구하기도 했다.
한 편 이 사태의 발단이 된 4개의 제로데이 외에 또 다른 제로데이 4개가 추가로 익스체인지 서버에서 발견되기도 했다. 다행히 하프늄 같은 해킹 단체가 아니라 NSA가 먼저 발견해 MS에 알렸고, MS는 어제 발표한 ‘정기 패치’를 통해 이 문제들을 해결했다.
3줄 요약
1. 익스체인지 사태 얼마나 큰지 FBI가 직접 나서서 사후 대처까지 진행함.
2. 원격에서 취약한 익스체인지 서버들을 검색해 악성 웹셸을 직접 삭제한 것.
3. 다만 패치까지 진행하거나 다른 위험 요소들까지 깨끗하게 청소한 건 아니라 사용자의 추가 행위가 요구됨.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버의 온프레미스 버전들을 FBI가 원격에서 검사해 웹셸들을 삭제할 수 있도록 법원이 허락해 준 사실이 공개됐다. 사법부가 발표한 내용에 의하면 “초기 해킹 그룹 하나가 취약한 익스체인지 서버에 남긴 웹셸을 FBI가 복제하고 삭제할 수 있도록 했다”고 하며 “성공적으로 임무가 완수되었다”고 한다.
[이미지 = Pixabay]
약 6주전, 마이크로소프트는 자사의 익스체인지 서버(Exchange Server)에서 제로데이 취약점 4개가 발견되었다고 발표했다. 공격자들이 먼저 발견한 것으로, 이미 활발한 익스플로잇 행위가 발생하고 있다고 하며 빠른 패치를 촉구했었다. 4개의 취약점을 연쇄적으로 익스플로잇 할 경우 공격자들은 익스체인지 서버에 침투해 데이터를 훔칠 수 있었다. 이 때 MS는 중국의 하프늄(Hafnium)이라는 해킹 그룹이 배후에 있다고 지적했는데, 그 후 익스체인지 서버를 공략하려는 시도가 기하급수적으로 늘어났다.
이 때문에 많은 조직들이 익스체인지 서버의 업데이트를 서둘러 진행했다. 3월 24일 MS는 전 세계 익스체인지 서버의 92%가 패치됐다고 발표했다. 하지만 패치는 ‘미래의 똑같은 공격을 방어’하는 수단이지만 ‘과거의 공격을 제거’하는 수단은 아니다. 공격자들이 이미 심어둔 악성 요소들까지 패치로 제거되지는 않기 때문이다.
하프늄의 경우, 4개의 제로데이 취약점을 통해 차이나 초퍼(China Chopper)라는 웹셸을 심어두었다고 알려져 있는데, 이 웹셸을 사용하면 취약점이 패치된 익스체인지 서버에도 침투할 수 있다고 한다. 최소 6만 개 이상의 익스체인지 서버들이 침해되었다고 사법부는 공개했다. 웹셸의 존재가 의심되는 익스체인지 서버가 그만큼 된다는 뜻이다. 하지만 사법부는 정확한 숫자까지 공개하지는 않았다.
이에 FBI는 법원에 원격 웹셸 제거를 위한 영장을 청구하면서 “피해자들 스스로가 웹셸을 제거할 확률은 극히 낮다”고 주장한 것으로 알려졌다. “일단 웹셸을 찾아낸다는 것 자체가 어려운 작업이고, 찾아낸다 하더라도 말끔히 지워내려면 일반인들이 가지고 있기 어려운 기술적인 노하우가 필요하기 때문”이라고 FBI는 주장했었다. 법원은 이를 받아들였고, FBI가 취약한 익스체인지 서버들을 검색해 웹셸을 제거하도록 했다.
사법부가 공개한 문건에 따르면 이번 임무에 가담한 FBI 요원들은 1) 웹셸에 접근해, 2) 비밀번호를 입력하고, 3) 해당 웹셸을 복사한 뒤 4) 각 웹셸들을 통해 서버들에 명령을 실행시켰다고 한다. 웹셸을 삭제하라는 명령이었다. 실험적으로 이 과정을 진행했을 때 다른 파일들에는 영향을 주지 않은 채 웹셸들이 삭제되는 것이 확인됐다고 한다. 참고로 이 명령으로 익스체인지 서버 패치까지 이뤄지지는 않았다고 한다. 또한 웹셸 외에 심겨진 멀웨어 등 악성 요소들까지 전부 제거된 것도 아니다.
이 때문에 FBI는 기본적인 웹셸 제거까지만 수행하고, 나머지 조치는 각 익스체인지 서버의 운영자들에게 일임할 계획이다. 이를 위해 FBI의 이름으로 일일이 연락해 “당신 서버에서 웹셸을 삭제했다”고 알리고 있다고 한다. 해당되는 조직들 중 연락처가 공개된 곳은 FBI.gov 도메인으로부터 이메일을 받게 될 것이라고 사법부는 알리기도 했다.
패치가 되지 않은 익스체인지 서버를 노리는 사이버 공격 시도는 현재도 거세게 이어지고 있는 상황이다. 공격자들은 제로데이의 존재가 알려진 시점부터 너도나도 달려들어 랜섬웨어나 암호화폐 채굴 코드 등을 심고 있다. 이 때문에 미국 국토안보부 산하 사이버 보안 전담 조직인 CISA가 MS의 패치를 빠르게 적용하라고 촉구하기도 했다.
한 편 이 사태의 발단이 된 4개의 제로데이 외에 또 다른 제로데이 4개가 추가로 익스체인지 서버에서 발견되기도 했다. 다행히 하프늄 같은 해킹 단체가 아니라 NSA가 먼저 발견해 MS에 알렸고, MS는 어제 발표한 ‘정기 패치’를 통해 이 문제들을 해결했다.
3줄 요약
1. 익스체인지 사태 얼마나 큰지 FBI가 직접 나서서 사후 대처까지 진행함.
2. 원격에서 취약한 익스체인지 서버들을 검색해 악성 웹셸을 직접 삭제한 것.
3. 다만 패치까지 진행하거나 다른 위험 요소들까지 깨끗하게 청소한 건 아니라 사용자의 추가 행위가 요구됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
