[보안뉴스 문가용 기자] 사이버 공격자들이 마이크로소프트의 익스체인지 서버(Exchange Server)에서 발견된 취약점들인 프록시셸(ProxyShell)을 익스플로잇 하기 위해 몇 가지 위험하고 새로운 전략을 사용하기 시작했다. 프록시셸은 지난 7월 처음 발견되고 패치된 여러 개의 취약점에 붙여진 이름이다.
[이미지 = utoimage]
보안 업체 맨디언트(Mandiant)가 발견한 바에 의하면 대부분의 공격자들은 취약한 시스템들에 웹셸을 심기 위해 프록시셸 취약점을 익스플로잇 했다고 한다. “그런데 최근 들어 웹셸을 심는 대신 자신들만의 비밀 메일함을 만들어 메일 계정 전체를 장악하고 다른 문제를 일으키는 사례들이 나오고 있습니다. 현재 3만 개가 넘는 익스체인지 서버들이 이런 공격에 노출되어 있습니다.”
프록시셸은 다음 취약점들을 통칭한다.
1) CVE-2021-34473 : 원격 코드 실행 취약점
2) CVE-2021-34523 : 권한 상승 취약점
3) CVE-2021-31207 : 관리자 수준의 접근을 허용하는 취약점
익스체인지 서버 2013, 2016, 2019 버전들에서 발견됐고, 또 패치됐다.
익스체인지 서버의 취약점을 통해 공격자들은 주로 웹셸들을 심어두었다. 웹셸은 추후에 발생할 공격의 통로가 된다. 즉, 취약점이 패치되기 전에 추후 공격 통로를 확보해 둔 것이다. 주로 XSL 트랜스폼(XSL Transform), 엔크립티드 리플렉티드 어셈블리 로더(Encrypted Reflected Assembly Loader), 코멘트 세퍼레이션(Comment Separation) 등이 자주 활용되는 것으로 나타났다.
맨디언트의 사건 대응 팀장인 조슈아 고다드(Joshua Goddard)는 “공격자들이 메일함의 익스포트 요청을 통해 웹셸을 심었다”고 설명한다. “그렇게 심긴 웹셸을 통해 공격자들은 나중에 익스체인지 서버들에 접근할 수 있게 됩니다. 피해자 조직에서 취약점을 패치한다고 하더라도 공격자들이 얼마든지 접근할 수 있는 거죠. 그리고 웹셸을 통해 랜섬웨어를 심어도 되고요.”
하지만 이런 수법이 흔해지자 보안 기업들이 대응하기 시작했다. 웹셸 탐지 성공률이 높아졌다. 그러자 공격자들이 새로운 전략을 들고 나온 것이 지금의 상황이라는 게 고다드의 설명이다. “이제 공격자들은 웹셸을 인증서 저장소(certificate store)에서부터 불러옵니다. 기존에는 메일함에서부터 익스포트 요청으로 했었는데 말이죠. 이렇게 했을 때 웹셸들의 파일 구조 방식이 바뀝니다. 보안 도구들에 걸리지 않게 되는 것입니다.”
이렇게 공격자들의 익스플로잇 전략이 한 번 바뀐 상황에서 맨디언트가 또 다른 전략을 발견한 것이다. 웹셸을 전혀 사용하지 않는 전략으로, 공격자들은 높은 권한을 가진 메일함을 생성한다고 한다. “이 메일함들은 주소 목록에서 감춰져 있습니다. 이 메일함은 권한이 높아 다른 계정들에 대한 접근 권한을 가지고 있고요. 공격자들은 웹 클라이언트를 통해 로그인해 메일함들을 검색하고 정보를 가져갈 수 있게 됩니다.”
고다드는 이러한 공격 전략에 대해 “결국 공격자들은 익스체인지에서 파생되는 서비스들을 프록시셸 취약점을 통해 자기들만 알도록 엮어내는 방식으로 ‘기업 이메일 침해(BEC)’ 공격을 실시하는 것”이라고 설명한다. “결국 정상적인 기업의 담당자가 보낸 것처럼 이메일을 발송함으로써 다른 기업들로 피싱 공격을 할 수 있게 됩니다. 게다가 이렇게 주고받는 이메일 가운데 악성 파일은 없죠. 탐지가 매우 어렵습니다.”
올 한 해 마이크로소프트의 익스체인지 서버 사용자들은 꽤나 큰 어려운 시기를 지나오고 있다. 3월에 중국의 APT 단체인 하프늄(Hafnium)이 프록시로그온(ProxyLogon)이라는 제로데이 취약점들을 공략한 것을 시작으로 거의 끊임없이 새로운 공격 시도와 사건들이 발견 및 보고되고 있는 상황이다. 익스체인지 서버가 워낙 광범위하게 사용되고 있기 때문에 공격자들로서 취약점 및 익스플로잇 연구를 하지 않는 게 이상한 것이 사실이다. 9월에는 보안 업체 트렌드 마이크로(Trend Micro)가 프록시토큰(ProxyToken)이라는 익스체인지 서버 취약점을 또 발견했다.
고다드는 “패치를 일찍 마무리한 조직이라면 새로운 공격 전략으로부터 안전할 수 있지만 패치를 뒤늦게 한 조직일수록 위험 가능성이 높다”고 설명한다. 그러면서 “조금이라도 패치가 늦었다고 생각된다면 서버에 모르는 이메일 계정이나 파일들, 메일함이 있는지 검사하는 것이 중요하다”고 강조했다.
3줄 요약
1. MS 익스체인지 서버, 1년 내내 터지다시피 공격당하는 중.
2. 여태까지는 웹셸을 심는 공격에 주로 활용되어 왔으나 최근에는 공격자들이 새 메일함을 생성.
3. 이 새 메일함 통해 사실상 고차원적인 BEC 공격 수행 가능.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>