MS 익스체인지 서버 통해 색다른 BEC 공격 실시하는 공격자들

2021-11-22 15:07
  • 카카오톡
  • url
3월부터 현재까지 MS 익스체인지 서버가 쉴 새 없이 공략당하는 중이다. 최근에는 메일함을 몰래 하나 만들어 BEC 공격을 하는 수법까지 등장했다. 공격자들의 진화는 끝이 없어라.

[보안뉴스 문가용 기자] 사이버 공격자들이 마이크로소프트의 익스체인지 서버(Exchange Server)에서 발견된 취약점들인 프록시셸(ProxyShell)을 익스플로잇 하기 위해 몇 가지 위험하고 새로운 전략을 사용하기 시작했다. 프록시셸은 지난 7월 처음 발견되고 패치된 여러 개의 취약점에 붙여진 이름이다.


[이미지 = utoimage]

보안 업체 맨디언트(Mandiant)가 발견한 바에 의하면 대부분의 공격자들은 취약한 시스템들에 웹셸을 심기 위해 프록시셸 취약점을 익스플로잇 했다고 한다. “그런데 최근 들어 웹셸을 심는 대신 자신들만의 비밀 메일함을 만들어 메일 계정 전체를 장악하고 다른 문제를 일으키는 사례들이 나오고 있습니다. 현재 3만 개가 넘는 익스체인지 서버들이 이런 공격에 노출되어 있습니다.”

프록시셸은 다음 취약점들을 통칭한다.
1) CVE-2021-34473 : 원격 코드 실행 취약점
2) CVE-2021-34523 : 권한 상승 취약점
3) CVE-2021-31207 : 관리자 수준의 접근을 허용하는 취약점
익스체인지 서버 2013, 2016, 2019 버전들에서 발견됐고, 또 패치됐다.

익스체인지 서버의 취약점을 통해 공격자들은 주로 웹셸들을 심어두었다. 웹셸은 추후에 발생할 공격의 통로가 된다. 즉, 취약점이 패치되기 전에 추후 공격 통로를 확보해 둔 것이다. 주로 XSL 트랜스폼(XSL Transform), 엔크립티드 리플렉티드 어셈블리 로더(Encrypted Reflected Assembly Loader), 코멘트 세퍼레이션(Comment Separation) 등이 자주 활용되는 것으로 나타났다.

맨디언트의 사건 대응 팀장인 조슈아 고다드(Joshua Goddard)는 “공격자들이 메일함의 익스포트 요청을 통해 웹셸을 심었다”고 설명한다. “그렇게 심긴 웹셸을 통해 공격자들은 나중에 익스체인지 서버들에 접근할 수 있게 됩니다. 피해자 조직에서 취약점을 패치한다고 하더라도 공격자들이 얼마든지 접근할 수 있는 거죠. 그리고 웹셸을 통해 랜섬웨어를 심어도 되고요.”

하지만 이런 수법이 흔해지자 보안 기업들이 대응하기 시작했다. 웹셸 탐지 성공률이 높아졌다. 그러자 공격자들이 새로운 전략을 들고 나온 것이 지금의 상황이라는 게 고다드의 설명이다. “이제 공격자들은 웹셸을 인증서 저장소(certificate store)에서부터 불러옵니다. 기존에는 메일함에서부터 익스포트 요청으로 했었는데 말이죠. 이렇게 했을 때 웹셸들의 파일 구조 방식이 바뀝니다. 보안 도구들에 걸리지 않게 되는 것입니다.”

이렇게 공격자들의 익스플로잇 전략이 한 번 바뀐 상황에서 맨디언트가 또 다른 전략을 발견한 것이다. 웹셸을 전혀 사용하지 않는 전략으로, 공격자들은 높은 권한을 가진 메일함을 생성한다고 한다. “이 메일함들은 주소 목록에서 감춰져 있습니다. 이 메일함은 권한이 높아 다른 계정들에 대한 접근 권한을 가지고 있고요. 공격자들은 웹 클라이언트를 통해 로그인해 메일함들을 검색하고 정보를 가져갈 수 있게 됩니다.”

고다드는 이러한 공격 전략에 대해 “결국 공격자들은 익스체인지에서 파생되는 서비스들을 프록시셸 취약점을 통해 자기들만 알도록 엮어내는 방식으로 ‘기업 이메일 침해(BEC)’ 공격을 실시하는 것”이라고 설명한다. “결국 정상적인 기업의 담당자가 보낸 것처럼 이메일을 발송함으로써 다른 기업들로 피싱 공격을 할 수 있게 됩니다. 게다가 이렇게 주고받는 이메일 가운데 악성 파일은 없죠. 탐지가 매우 어렵습니다.”

올 한 해 마이크로소프트의 익스체인지 서버 사용자들은 꽤나 큰 어려운 시기를 지나오고 있다. 3월에 중국의 APT 단체인 하프늄(Hafnium)이 프록시로그온(ProxyLogon)이라는 제로데이 취약점들을 공략한 것을 시작으로 거의 끊임없이 새로운 공격 시도와 사건들이 발견 및 보고되고 있는 상황이다. 익스체인지 서버가 워낙 광범위하게 사용되고 있기 때문에 공격자들로서 취약점 및 익스플로잇 연구를 하지 않는 게 이상한 것이 사실이다. 9월에는 보안 업체 트렌드 마이크로(Trend Micro)가 프록시토큰(ProxyToken)이라는 익스체인지 서버 취약점을 또 발견했다.

고다드는 “패치를 일찍 마무리한 조직이라면 새로운 공격 전략으로부터 안전할 수 있지만 패치를 뒤늦게 한 조직일수록 위험 가능성이 높다”고 설명한다. 그러면서 “조금이라도 패치가 늦었다고 생각된다면 서버에 모르는 이메일 계정이나 파일들, 메일함이 있는지 검사하는 것이 중요하다”고 강조했다.

3줄 요약
1. MS 익스체인지 서버, 1년 내내 터지다시피 공격당하는 중.
2. 여태까지는 웹셸을 심는 공격에 주로 활용되어 왔으나 최근에는 공격자들이 새 메일함을 생성.
3. 이 새 메일함 통해 사실상 고차원적인 BEC 공격 수행 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전코리아

    • 인콘
      통합관제 / 소방방재

    • 비티에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 엔토스정보통신

    • 웹게이트

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 하이크비전

    • 그린아이티코리아
      번호인식 카메라

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 다후아테크놀로지코리아

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • ITX_AI

    • 다누시스

    • 경인씨엔에스
      CCTV / 자동복구장치

    • Tiandy

    • 성현시스템

    • 하이앤텍

    • 비전정보통신

    • 씨엠아이텍

    • CVT

    • 이오씨

    • 아이쓰리시스템(주)

    • A3시큐리티

    • (주)투윈스컴

    • 트루엔
      IP 카메라 / 인공지능 ..

    • (주)씨유박스

    • (주)에펠

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • (주)우경정보기술

    • (주)동양유니텍

    • AIS테크놀러지

    • 디비시스
      CCTV토탈솔루션

    • 주식회사 비앤에스

    • 구네보코리아주식회사

    • 보쉬빌딩테크놀러지

    • 한국씨텍(주)

    • 네티마

    • 엔에스티정보통신

    • 옵텍스

    • 아이엔아이
      울타리 침입 감지 시스템

    • 신우테크
      팬틸드 / 하우징

    • (주)에프에스네트웍스

    • 에이앤티코리아

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 새눈
      CCTV 상태관리 솔루션

    • (주)알에프코리아

    • 사라다

    • 모스타

    • 주식회사 에스카

    • (주)일산정밀

    • 이후커뮤니케이션

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • 엔에스게이트

    • 퍼시픽솔루션

    • 다원테크

    • (주)에이앤티글로벌

    • 두레옵트로닉스
      카메라 렌즈

    • 포커스테크

    • 티에스아이솔루션
      출입 통제 솔루션

    • 메트로게이트
      시큐리티 게이트

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 글로넥스
      카드리더 / 데드볼트

    • (주)넥스트림

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지엘에스이

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기