4년 전 워너크라이 랜섬웨어 사태는 전 세계에 충격을 안겼다. 그 때 공격자들은 이미 패치되었어야 할 취약점을 익스플로잇 했었다. 그래서 다들 ‘패치를 꼭 해야 한다’는 교훈을 얻어갔다. 그런데 4년이 지났는데도 이 교훈이 여전히 유효하다는 사실이 드러났다.
[보안뉴스 문가용 기자] NSA가 개발한 것으로 알려진 이터널블루(EternalBlue) 익스플로잇은, 이미 4년 전 패치된 SMB 취약점을 공략하는 도구인데 여전히 위력을 발휘하고 있다. 불과 얼마 전에도 새로운 SMB 웜이 발견됐는데, 이 이터널블루를 기반으로 하고 있으며, 아태와 북미 지역에서 빠르게 퍼져가고 있다고 한다. 이 웜의 이름은 인덱시나스(Indexinas) 혹은 NSA버프마이너(NSABuffMiner)다.
[이미지 = pixabay]
인덱시나스를 추적해 온 보안 업체 가디코어(Guardicore)에 의하면 “인덱시나스는 제일 먼저 이터널블루 취약점을 가진 SMB 서버들을 통해 피해자의 망에 침투한 뒤 이터널블루 익스플로잇과 더블펄사(DoublePulsar)와 이터널로맨스(EternalRomance) 익스플로잇을 함께 활용함으로써 횡적으로 움직이기 시작한다”고 한다. 더블펄사와 이터널로맨스 역시 NSA가 개발한 것으로 알려진 익스플로잇 도구다. 횡적으로 움직이는 목적은 권한이 높은 계정을 통해 백도어를 심는 것이다.
이러한 일련의 과정을 통해 인덱시나스는 프로세스를 종료하고, 파일을 삭제하며, 다른 해킹 공격과 관련된 서비스들을 전부 중단시킨다고 한다. 뿐만 아니라 시스템과 프로세스에 대한 모니터링 및 보호 솔루션들도 비활성화시킨다고 한다. “이렇게 방해되는 모든 것들을 제거한 후 공격자들이 하는 건 암호화폐 채굴입니다. 아직은 이것이 캠페인의 가장 주된 목적인 것으로 보입니다.” 가디코어의 보안 연구원인 오피르 하파즈(Ophir Harpaz)의 설명이다.
하지만 이 캠페인이 다른 방향으로 변질될 가능성도 염두에 두어야 한다고 하파즈는 경고한다. “지금 이 캠페인이 진행되는 모양새를 봤을 때, 공격자들이 원하는 어떤 페이로드도 피해자의 네트워크에 심길 수 있다는 걸 알 수 있습니다. 지금은 암호화폐 채굴 코드라면, 나중에는 랜섬웨어가 될 수도 있습니다. 정보 탈취형 멀웨어가 될 수도 있고요. 심지어 감염시킨 시스템들을 봇넷 인프라로 활용할 수도 있습니다.”
이터널블루가 익스플로잇 하는 취약점은 마이크로소프트의 SMB v1에서 발견된 것으로, 공격자들에게 원격 코드 실행 능력을 부여한다. 윈도 비스타, 윈도 서버 2008, 윈도 7, 윈도 서버 2012 등과 같은 오래된 버전의 윈도들에서 발견됐으며, MS는 이미 4년 전 긴급 패치를 발표했었다. 심지어 당시 생애주기가 끝나서 지원이 종료된 버전에 대한 패치도 마련해 배포했었다.
그럼에도 이터널블루와 SMB 취약점은 지난 4년 동안 각종 해킹 공격에 계속해서 사용되어 왔다. SMB를 사용하는 조직들이 좀처럼 패치를 적용하지 않는다는 증거다. 가장 대표적인 사례는 2017년 발생한 워너크라이(WannaCry) 및 낫페트야(NotPetya) 랜섬웨어 사건이다. MS가 SMB 취약점을 패치하고서 두 달이 지난 시점에서 발생한 사건으로 당시에도 보안 업계에서는 패치를 내놓아도 적용하지 않으니 이런 공격들에 당하는 것이라고 성토했었다.
이 ‘성토’는 지금도 유효하다. “지금도 쇼단으로 검색하면 취약한 SMB 서버를 얼마든지 찾을 수 있습니다. 많은 조직들이 기존의 인프라를 새롭게 업그레이드하는 것을 리스크로 여기고 있기 때문입니다. 업그레이드가 일시적인 생산 중단이나 서비스 중단 등으로 이어질 수 있는 상태라 그렇습니다. 잠시만 가동을 멈춰도 치명적인 결과를 낳는 경우가 꽤 많고, 이런 경우 위험한 요소들을 그대로 놔두는 편을 택하는 조직이 많습니다.”
가디코어의 분석에 의하면 이번 인덱시나스 캠페인은 1300개가 넘는 IP 주소들로부터 발현했다고 한다. 공격 회수는 이미 2천 번을 훌쩍 넘기고 있는 수준이다. IP 주소들을 추적했을 때 공격의 대부분은 미국, 인도, 베트남에서 이뤄진 것으로 보인다. 공격에 활용된 C&C 서버 일부는 한국에서 발견되기도 했다. 하지만 인덱시나스 캠페인을 통해 공격자들이 어느 정도나 암호화폐를 채굴했는지는 밝혀지지 않았다. “아직 감염된 시스템의 수도 정확히 알 수 없습니다. 하지만 수천 대에서 수만 대에 이를 것으로 추정됩니다.”
가디코어는 깃허브 리포지터리를 통해 IoC를 공유하기도 했다. 이는 여기(https://github.com/guardicore/labs_campaigns/tree/master/Indexsinas)서 열람이 가능하다. 또한 이미 침해됐는지 확인할 수 있게 해 주는 파워셸 도구를 배포하고 있기도 하다. “하지만 IoC로 공격을 막고 침해 여부를 점검한다 해도 근본적인 조치가 되지는 않습니다. 취약한 SMB를 최신화 하는 게 급선무입니다. 그게 아니면 이 오래된 공격은 계속해서 우리의 사이버 환경을 위협할 것입니다.”
3줄 요약
1. 4년 전 워너크라이 사태 일으킨 주범이었던 SMB 취약점, 지금도 위협적 존재.
2. 최근에도 이 SMB 취약점 통해 암호화폐 채굴하는 멀웨어가 퍼지고 있음.
3. 오래된 윈도를 업데이트 하는 것이 이 공격의 근본적인 대책인데...
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] NSA가 개발한 것으로 알려진 이터널블루(EternalBlue) 익스플로잇은, 이미 4년 전 패치된 SMB 취약점을 공략하는 도구인데 여전히 위력을 발휘하고 있다. 불과 얼마 전에도 새로운 SMB 웜이 발견됐는데, 이 이터널블루를 기반으로 하고 있으며, 아태와 북미 지역에서 빠르게 퍼져가고 있다고 한다. 이 웜의 이름은 인덱시나스(Indexinas) 혹은 NSA버프마이너(NSABuffMiner)다.
[이미지 = pixabay]
인덱시나스를 추적해 온 보안 업체 가디코어(Guardicore)에 의하면 “인덱시나스는 제일 먼저 이터널블루 취약점을 가진 SMB 서버들을 통해 피해자의 망에 침투한 뒤 이터널블루 익스플로잇과 더블펄사(DoublePulsar)와 이터널로맨스(EternalRomance) 익스플로잇을 함께 활용함으로써 횡적으로 움직이기 시작한다”고 한다. 더블펄사와 이터널로맨스 역시 NSA가 개발한 것으로 알려진 익스플로잇 도구다. 횡적으로 움직이는 목적은 권한이 높은 계정을 통해 백도어를 심는 것이다.
이러한 일련의 과정을 통해 인덱시나스는 프로세스를 종료하고, 파일을 삭제하며, 다른 해킹 공격과 관련된 서비스들을 전부 중단시킨다고 한다. 뿐만 아니라 시스템과 프로세스에 대한 모니터링 및 보호 솔루션들도 비활성화시킨다고 한다. “이렇게 방해되는 모든 것들을 제거한 후 공격자들이 하는 건 암호화폐 채굴입니다. 아직은 이것이 캠페인의 가장 주된 목적인 것으로 보입니다.” 가디코어의 보안 연구원인 오피르 하파즈(Ophir Harpaz)의 설명이다.
하지만 이 캠페인이 다른 방향으로 변질될 가능성도 염두에 두어야 한다고 하파즈는 경고한다. “지금 이 캠페인이 진행되는 모양새를 봤을 때, 공격자들이 원하는 어떤 페이로드도 피해자의 네트워크에 심길 수 있다는 걸 알 수 있습니다. 지금은 암호화폐 채굴 코드라면, 나중에는 랜섬웨어가 될 수도 있습니다. 정보 탈취형 멀웨어가 될 수도 있고요. 심지어 감염시킨 시스템들을 봇넷 인프라로 활용할 수도 있습니다.”
이터널블루가 익스플로잇 하는 취약점은 마이크로소프트의 SMB v1에서 발견된 것으로, 공격자들에게 원격 코드 실행 능력을 부여한다. 윈도 비스타, 윈도 서버 2008, 윈도 7, 윈도 서버 2012 등과 같은 오래된 버전의 윈도들에서 발견됐으며, MS는 이미 4년 전 긴급 패치를 발표했었다. 심지어 당시 생애주기가 끝나서 지원이 종료된 버전에 대한 패치도 마련해 배포했었다.
그럼에도 이터널블루와 SMB 취약점은 지난 4년 동안 각종 해킹 공격에 계속해서 사용되어 왔다. SMB를 사용하는 조직들이 좀처럼 패치를 적용하지 않는다는 증거다. 가장 대표적인 사례는 2017년 발생한 워너크라이(WannaCry) 및 낫페트야(NotPetya) 랜섬웨어 사건이다. MS가 SMB 취약점을 패치하고서 두 달이 지난 시점에서 발생한 사건으로 당시에도 보안 업계에서는 패치를 내놓아도 적용하지 않으니 이런 공격들에 당하는 것이라고 성토했었다.
이 ‘성토’는 지금도 유효하다. “지금도 쇼단으로 검색하면 취약한 SMB 서버를 얼마든지 찾을 수 있습니다. 많은 조직들이 기존의 인프라를 새롭게 업그레이드하는 것을 리스크로 여기고 있기 때문입니다. 업그레이드가 일시적인 생산 중단이나 서비스 중단 등으로 이어질 수 있는 상태라 그렇습니다. 잠시만 가동을 멈춰도 치명적인 결과를 낳는 경우가 꽤 많고, 이런 경우 위험한 요소들을 그대로 놔두는 편을 택하는 조직이 많습니다.”
가디코어의 분석에 의하면 이번 인덱시나스 캠페인은 1300개가 넘는 IP 주소들로부터 발현했다고 한다. 공격 회수는 이미 2천 번을 훌쩍 넘기고 있는 수준이다. IP 주소들을 추적했을 때 공격의 대부분은 미국, 인도, 베트남에서 이뤄진 것으로 보인다. 공격에 활용된 C&C 서버 일부는 한국에서 발견되기도 했다. 하지만 인덱시나스 캠페인을 통해 공격자들이 어느 정도나 암호화폐를 채굴했는지는 밝혀지지 않았다. “아직 감염된 시스템의 수도 정확히 알 수 없습니다. 하지만 수천 대에서 수만 대에 이를 것으로 추정됩니다.”
가디코어는 깃허브 리포지터리를 통해 IoC를 공유하기도 했다. 이는 여기(https://github.com/guardicore/labs_campaigns/tree/master/Indexsinas)서 열람이 가능하다. 또한 이미 침해됐는지 확인할 수 있게 해 주는 파워셸 도구를 배포하고 있기도 하다. “하지만 IoC로 공격을 막고 침해 여부를 점검한다 해도 근본적인 조치가 되지는 않습니다. 취약한 SMB를 최신화 하는 게 급선무입니다. 그게 아니면 이 오래된 공격은 계속해서 우리의 사이버 환경을 위협할 것입니다.”
3줄 요약
1. 4년 전 워너크라이 사태 일으킨 주범이었던 SMB 취약점, 지금도 위협적 존재.
2. 최근에도 이 SMB 취약점 통해 암호화폐 채굴하는 멀웨어가 퍼지고 있음.
3. 오래된 윈도를 업데이트 하는 것이 이 공격의 근본적인 대책인데...
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
