7월 2일 금요일 14시 30분에 일제히 시작된 익스플로잇 공격은 같은 날 16시 30분 악성 스크립트 로딩으로 마무리 됐다. 이 악성 스크립트는 결국 랜섬웨어 페이로드를 수많은 시스템으로 전파 및 설치했다. 순식간에 벌어진 일이었다. 제한된 예산과 자원으로는 대응하기 힘들었을 정도로 말이다.
[보안뉴스 문가용 기자] 7월 2일 금요일 14시 30분 경, 인터넷에 연결된 카세야(Kaseya) VSA 서버들 중 일부에 악성 트래픽이 일제히 몰리기 시작했다. 이 서버들은 MSP 업체들이 호스팅하고 있었다. 전부 같은 시간대에 발생한 일로, 공격자들은 특정 시간에 맞춰 한꺼번에 움직인 후 사라졌다.
[이미지 = Pixabay]
그리고 다시 16:30, 거의 동시에 침해된 서버들이 명령 스크립트를 실행하기 시작했다. 각종 보안 기능을 비활성화시키고 악성 페이로드를 실행시키는 스크립트였다. 이 악성 페이로드는 레빌 랜섬웨어였다. 최초 침해에서 랜섬웨어 감염으로 이어진 시간이 겨우 두 시간이었다는 것이 보안 업체 헌트레스 랩스(Huntress Labs)의 조사 결과다.
이것이 사실이라면 MSP들이나, MSP의 고객사들이 카세야 사태가 한창 벌어지고 있던 때 이상한 점을 느끼고 대응할 시간이 겨우 2시간이었다는 뜻이 된다. 헌트레스 랩스의 수석 위협 분석가인 존 하몬드(John Hammond)는 “이전부터 지속적 모니터링을 하고 있었어야만 대응이 가능했을 것”이라고 설명을 추가했다.
“안타깝지만 쉬지 않고 네트워크를 감시하는 ‘지속적 모니터링’을 제대로 구현하고 있는 조직은 얼마 없습니다. MSP 업체들조차 지속적 모니터링을 위한 자원을 확보하지 못하고 있는 경우가 대부분입니다. 특히 네트워크 모니터링 요원을 확보하는 게 현재 큰 문제가 되고 있죠. 24시간 네트워크 상태만 들여다 볼 수 있는 사람은 매우 드물고, 그런 사람들을 여러 명 뽑아 교대로 돌리자니 기업의 예산에 부담이 되고요. 그래서 자동화 기술이 필요합니다.”
헌트레스 측의 분석에 따르면 레빌 공격자들이 오히려 자동화 기술을 사용한 것으로 보인다. 공격이 시작되고 종료되는 시점이 정확하게 일치했기 때문이다. 여러 공격자가 서로 약속을 하고 같은 시간대에 공격을 실시했다고 하더라도 어느 정도 오차가 있을 수밖에 없는데, 위 두 번의 공격에서는 그런 오차가 없었다고 한다.
“7월 2일 금요일 14:48, 첫 번째 패킷이 온프레미스 카세야 서버들을 타격하기 시작했다고 로그에 기록되어 있습니다. 인증 우회, 임의 파일 업로드, 명령 주입 공격이 포함된 익스플로잇이었습니다. 이 트래픽이 한 동안 기록되다가 사라졌고, 16:30부터 갑자기 백신 기업들이 랜섬웨어 페이로드 경보를 발령하기 시작했습니다.” 이런 백신 기업 중 하나였던 소포스(Sophos)는 “갑자기 랜섬웨어 관련 텔레메트리가 치솟았다”며 “한순간에 일어난 일”이었다고 설명한다.
침해된 카세야 VSA는 원격에서 다른 시스템을 관리해 주는 기능을 가진 소프트웨어다. 그렇기 때문에 권한이 기본적으로 높은 것은 물론 백신 소프트웨어들이 ‘예외’로 규정하고 있는 경우가 상당히 많다. 카세야 VSA를 통해 들어오는 트래픽은 어지간해서 악성으로 분류되지 않는다는 것이다. “7월 2일 16시 30분, 랜섬웨어 탐지율이 갑자기 증가했을 때 카세야 VSA와 연결된 시스템들에서 명령행 스크립트가 실행됐습니다. 파워셸을 실행시키는 스크립트였죠. 보안 장치들을 비활성화시키는 스크립트였지만 카세야 VSA를 통해 실행되었기 때문에 악성으로 분류되지 않았습니다.”
게다가 공격자들은 MS의 백신 프로그램인 디펜더(Defender)의 구버전을 랜섬웨어 페이로드 로딩에 활용하기도 했다. 소포스는 “공격자들은 MS의 백신 제품인 디펜더를 피해자의 시스템에 로딩했는데, 이 디펜더는 사이드 로딩 공격 취약점을 가지고 있던 것”이라고 설명한다. “구버전이긴 하지만 MS가 서명한 코드를 가지고 있기 때문에 악성으로 분류되지 않습니다. 공격자들은 이 취약한 디펜더를 심고, 이 디펜더의 취약점을 익스플로잇 해서 랜섬웨어를 로딩했습니다.”
카세야 측은 아직까지도 공격자들이 최초 공격을 실시하는 데 악용했던 카세야 VSA 온프레미스 버전의 취약점을 패치하지 못하고 있다. 기술적인 문제를 겪고 있는 것으로 알려져 있다. 하지만 모든 자원을 현재 패치 개발에 쏟고 있다고 카세야 측은 계속해서 강조하고 있다.
보안 업체 워치가드 테크놀로지스(WatchGuard Technologies)의 코리 나크라이너(Corey Nachreiner)는 “패치가 나오기 전까지 카세야 VSA 온프레미스 버전 고객들은 사실상 서버를 인터넷으로 연결시킬 수 없다”고 설명하며 “다만 랜섬웨어 탐지 솔루션을 엔드포인트에 설치하는 것이 어느 정도 위험 완화책이 될 수는 있을 것”이라고 권고했다. “공격이 2시간 만에 발생했지만, 당시 랜섬웨어 경보를 울린 솔루션들은 여럿 있었습니다. 카세야 VSA 서버를 패치하는 것도 중요하지만, 각 엔드포인트에 랜섬웨어 보호 솔루션을 설치해 사용하는 것도 중요한 일입니다.”
한편 이번 사건에 있어 카세야 측의 잘못은 미비하다는 것이 하몬드의 의견이다. “카세야 VSA에는 제로데이 취약점이 있었습니다. 제로데이라는 건, 패치를 개발해 적용할 시간이 하로도 주어지지 않았다(즉 제로 데이)는 뜻이죠. 게다가 공격자들은 단 두 시간 만에 사실상 필요한 기계들을 감염시켰습니다. 대응하기에도 너무 빨랐어요. 카세야 측으로서도 불가항력적이었다는 뜻입니다. 게다가 이미 카세야는 이전부터 취약점 패치 개발에 성실한 모습을 보여왔고, 최근에도 보안 담당자들을 추가로 고용해 보안에 힘을 실어주기도 했습니다.”
4줄 요약
1. 카세야 사태 일으킨 공격자들, 자동화 기술 사용해 딱 두 시간 만에 공격 성공.
2. 2시간은 MSP나 중소기업들이 대응하기에 지나치게 짧은 시간.
3. 공격자들은 MS 디펜더 구버전 설치해 랜섬웨어를 로딩시키기도 함.
4. 레빌이 공격을 잘 한 것이지, 카세야가 책임져야 할 못했다고 보기 힘듦.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 7월 2일 금요일 14시 30분 경, 인터넷에 연결된 카세야(Kaseya) VSA 서버들 중 일부에 악성 트래픽이 일제히 몰리기 시작했다. 이 서버들은 MSP 업체들이 호스팅하고 있었다. 전부 같은 시간대에 발생한 일로, 공격자들은 특정 시간에 맞춰 한꺼번에 움직인 후 사라졌다.
[이미지 = Pixabay]
그리고 다시 16:30, 거의 동시에 침해된 서버들이 명령 스크립트를 실행하기 시작했다. 각종 보안 기능을 비활성화시키고 악성 페이로드를 실행시키는 스크립트였다. 이 악성 페이로드는 레빌 랜섬웨어였다. 최초 침해에서 랜섬웨어 감염으로 이어진 시간이 겨우 두 시간이었다는 것이 보안 업체 헌트레스 랩스(Huntress Labs)의 조사 결과다.
이것이 사실이라면 MSP들이나, MSP의 고객사들이 카세야 사태가 한창 벌어지고 있던 때 이상한 점을 느끼고 대응할 시간이 겨우 2시간이었다는 뜻이 된다. 헌트레스 랩스의 수석 위협 분석가인 존 하몬드(John Hammond)는 “이전부터 지속적 모니터링을 하고 있었어야만 대응이 가능했을 것”이라고 설명을 추가했다.
“안타깝지만 쉬지 않고 네트워크를 감시하는 ‘지속적 모니터링’을 제대로 구현하고 있는 조직은 얼마 없습니다. MSP 업체들조차 지속적 모니터링을 위한 자원을 확보하지 못하고 있는 경우가 대부분입니다. 특히 네트워크 모니터링 요원을 확보하는 게 현재 큰 문제가 되고 있죠. 24시간 네트워크 상태만 들여다 볼 수 있는 사람은 매우 드물고, 그런 사람들을 여러 명 뽑아 교대로 돌리자니 기업의 예산에 부담이 되고요. 그래서 자동화 기술이 필요합니다.”
헌트레스 측의 분석에 따르면 레빌 공격자들이 오히려 자동화 기술을 사용한 것으로 보인다. 공격이 시작되고 종료되는 시점이 정확하게 일치했기 때문이다. 여러 공격자가 서로 약속을 하고 같은 시간대에 공격을 실시했다고 하더라도 어느 정도 오차가 있을 수밖에 없는데, 위 두 번의 공격에서는 그런 오차가 없었다고 한다.
“7월 2일 금요일 14:48, 첫 번째 패킷이 온프레미스 카세야 서버들을 타격하기 시작했다고 로그에 기록되어 있습니다. 인증 우회, 임의 파일 업로드, 명령 주입 공격이 포함된 익스플로잇이었습니다. 이 트래픽이 한 동안 기록되다가 사라졌고, 16:30부터 갑자기 백신 기업들이 랜섬웨어 페이로드 경보를 발령하기 시작했습니다.” 이런 백신 기업 중 하나였던 소포스(Sophos)는 “갑자기 랜섬웨어 관련 텔레메트리가 치솟았다”며 “한순간에 일어난 일”이었다고 설명한다.
침해된 카세야 VSA는 원격에서 다른 시스템을 관리해 주는 기능을 가진 소프트웨어다. 그렇기 때문에 권한이 기본적으로 높은 것은 물론 백신 소프트웨어들이 ‘예외’로 규정하고 있는 경우가 상당히 많다. 카세야 VSA를 통해 들어오는 트래픽은 어지간해서 악성으로 분류되지 않는다는 것이다. “7월 2일 16시 30분, 랜섬웨어 탐지율이 갑자기 증가했을 때 카세야 VSA와 연결된 시스템들에서 명령행 스크립트가 실행됐습니다. 파워셸을 실행시키는 스크립트였죠. 보안 장치들을 비활성화시키는 스크립트였지만 카세야 VSA를 통해 실행되었기 때문에 악성으로 분류되지 않았습니다.”
게다가 공격자들은 MS의 백신 프로그램인 디펜더(Defender)의 구버전을 랜섬웨어 페이로드 로딩에 활용하기도 했다. 소포스는 “공격자들은 MS의 백신 제품인 디펜더를 피해자의 시스템에 로딩했는데, 이 디펜더는 사이드 로딩 공격 취약점을 가지고 있던 것”이라고 설명한다. “구버전이긴 하지만 MS가 서명한 코드를 가지고 있기 때문에 악성으로 분류되지 않습니다. 공격자들은 이 취약한 디펜더를 심고, 이 디펜더의 취약점을 익스플로잇 해서 랜섬웨어를 로딩했습니다.”
카세야 측은 아직까지도 공격자들이 최초 공격을 실시하는 데 악용했던 카세야 VSA 온프레미스 버전의 취약점을 패치하지 못하고 있다. 기술적인 문제를 겪고 있는 것으로 알려져 있다. 하지만 모든 자원을 현재 패치 개발에 쏟고 있다고 카세야 측은 계속해서 강조하고 있다.
보안 업체 워치가드 테크놀로지스(WatchGuard Technologies)의 코리 나크라이너(Corey Nachreiner)는 “패치가 나오기 전까지 카세야 VSA 온프레미스 버전 고객들은 사실상 서버를 인터넷으로 연결시킬 수 없다”고 설명하며 “다만 랜섬웨어 탐지 솔루션을 엔드포인트에 설치하는 것이 어느 정도 위험 완화책이 될 수는 있을 것”이라고 권고했다. “공격이 2시간 만에 발생했지만, 당시 랜섬웨어 경보를 울린 솔루션들은 여럿 있었습니다. 카세야 VSA 서버를 패치하는 것도 중요하지만, 각 엔드포인트에 랜섬웨어 보호 솔루션을 설치해 사용하는 것도 중요한 일입니다.”
한편 이번 사건에 있어 카세야 측의 잘못은 미비하다는 것이 하몬드의 의견이다. “카세야 VSA에는 제로데이 취약점이 있었습니다. 제로데이라는 건, 패치를 개발해 적용할 시간이 하로도 주어지지 않았다(즉 제로 데이)는 뜻이죠. 게다가 공격자들은 단 두 시간 만에 사실상 필요한 기계들을 감염시켰습니다. 대응하기에도 너무 빨랐어요. 카세야 측으로서도 불가항력적이었다는 뜻입니다. 게다가 이미 카세야는 이전부터 취약점 패치 개발에 성실한 모습을 보여왔고, 최근에도 보안 담당자들을 추가로 고용해 보안에 힘을 실어주기도 했습니다.”
4줄 요약
1. 카세야 사태 일으킨 공격자들, 자동화 기술 사용해 딱 두 시간 만에 공격 성공.
2. 2시간은 MSP나 중소기업들이 대응하기에 지나치게 짧은 시간.
3. 공격자들은 MS 디펜더 구버전 설치해 랜섬웨어를 로딩시키기도 함.
4. 레빌이 공격을 잘 한 것이지, 카세야가 책임져야 할 못했다고 보기 힘듦.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
