MS 익스체인지 서버 통해 색다른 BEC 공격 실시하는 공격자들

2021-11-22 15:07
  • 카카오톡
  • 네이버 블로그
  • url
3월부터 현재까지 MS 익스체인지 서버가 쉴 새 없이 공략당하는 중이다. 최근에는 메일함을 몰래 하나 만들어 BEC 공격을 하는 수법까지 등장했다. 공격자들의 진화는 끝이 없어라.

[보안뉴스 문가용 기자] 사이버 공격자들이 마이크로소프트의 익스체인지 서버(Exchange Server)에서 발견된 취약점들인 프록시셸(ProxyShell)을 익스플로잇 하기 위해 몇 가지 위험하고 새로운 전략을 사용하기 시작했다. 프록시셸은 지난 7월 처음 발견되고 패치된 여러 개의 취약점에 붙여진 이름이다.


[이미지 = utoimage]

보안 업체 맨디언트(Mandiant)가 발견한 바에 의하면 대부분의 공격자들은 취약한 시스템들에 웹셸을 심기 위해 프록시셸 취약점을 익스플로잇 했다고 한다. “그런데 최근 들어 웹셸을 심는 대신 자신들만의 비밀 메일함을 만들어 메일 계정 전체를 장악하고 다른 문제를 일으키는 사례들이 나오고 있습니다. 현재 3만 개가 넘는 익스체인지 서버들이 이런 공격에 노출되어 있습니다.”

프록시셸은 다음 취약점들을 통칭한다.
1) CVE-2021-34473 : 원격 코드 실행 취약점
2) CVE-2021-34523 : 권한 상승 취약점
3) CVE-2021-31207 : 관리자 수준의 접근을 허용하는 취약점
익스체인지 서버 2013, 2016, 2019 버전들에서 발견됐고, 또 패치됐다.

익스체인지 서버의 취약점을 통해 공격자들은 주로 웹셸들을 심어두었다. 웹셸은 추후에 발생할 공격의 통로가 된다. 즉, 취약점이 패치되기 전에 추후 공격 통로를 확보해 둔 것이다. 주로 XSL 트랜스폼(XSL Transform), 엔크립티드 리플렉티드 어셈블리 로더(Encrypted Reflected Assembly Loader), 코멘트 세퍼레이션(Comment Separation) 등이 자주 활용되는 것으로 나타났다.

맨디언트의 사건 대응 팀장인 조슈아 고다드(Joshua Goddard)는 “공격자들이 메일함의 익스포트 요청을 통해 웹셸을 심었다”고 설명한다. “그렇게 심긴 웹셸을 통해 공격자들은 나중에 익스체인지 서버들에 접근할 수 있게 됩니다. 피해자 조직에서 취약점을 패치한다고 하더라도 공격자들이 얼마든지 접근할 수 있는 거죠. 그리고 웹셸을 통해 랜섬웨어를 심어도 되고요.”

하지만 이런 수법이 흔해지자 보안 기업들이 대응하기 시작했다. 웹셸 탐지 성공률이 높아졌다. 그러자 공격자들이 새로운 전략을 들고 나온 것이 지금의 상황이라는 게 고다드의 설명이다. “이제 공격자들은 웹셸을 인증서 저장소(certificate store)에서부터 불러옵니다. 기존에는 메일함에서부터 익스포트 요청으로 했었는데 말이죠. 이렇게 했을 때 웹셸들의 파일 구조 방식이 바뀝니다. 보안 도구들에 걸리지 않게 되는 것입니다.”

이렇게 공격자들의 익스플로잇 전략이 한 번 바뀐 상황에서 맨디언트가 또 다른 전략을 발견한 것이다. 웹셸을 전혀 사용하지 않는 전략으로, 공격자들은 높은 권한을 가진 메일함을 생성한다고 한다. “이 메일함들은 주소 목록에서 감춰져 있습니다. 이 메일함은 권한이 높아 다른 계정들에 대한 접근 권한을 가지고 있고요. 공격자들은 웹 클라이언트를 통해 로그인해 메일함들을 검색하고 정보를 가져갈 수 있게 됩니다.”

고다드는 이러한 공격 전략에 대해 “결국 공격자들은 익스체인지에서 파생되는 서비스들을 프록시셸 취약점을 통해 자기들만 알도록 엮어내는 방식으로 ‘기업 이메일 침해(BEC)’ 공격을 실시하는 것”이라고 설명한다. “결국 정상적인 기업의 담당자가 보낸 것처럼 이메일을 발송함으로써 다른 기업들로 피싱 공격을 할 수 있게 됩니다. 게다가 이렇게 주고받는 이메일 가운데 악성 파일은 없죠. 탐지가 매우 어렵습니다.”

올 한 해 마이크로소프트의 익스체인지 서버 사용자들은 꽤나 큰 어려운 시기를 지나오고 있다. 3월에 중국의 APT 단체인 하프늄(Hafnium)이 프록시로그온(ProxyLogon)이라는 제로데이 취약점들을 공략한 것을 시작으로 거의 끊임없이 새로운 공격 시도와 사건들이 발견 및 보고되고 있는 상황이다. 익스체인지 서버가 워낙 광범위하게 사용되고 있기 때문에 공격자들로서 취약점 및 익스플로잇 연구를 하지 않는 게 이상한 것이 사실이다. 9월에는 보안 업체 트렌드 마이크로(Trend Micro)가 프록시토큰(ProxyToken)이라는 익스체인지 서버 취약점을 또 발견했다.

고다드는 “패치를 일찍 마무리한 조직이라면 새로운 공격 전략으로부터 안전할 수 있지만 패치를 뒤늦게 한 조직일수록 위험 가능성이 높다”고 설명한다. 그러면서 “조금이라도 패치가 늦었다고 생각된다면 서버에 모르는 이메일 계정이나 파일들, 메일함이 있는지 검사하는 것이 중요하다”고 강조했다.

3줄 요약
1. MS 익스체인지 서버, 1년 내내 터지다시피 공격당하는 중.
2. 여태까지는 웹셸을 심는 공격에 주로 활용되어 왔으나 최근에는 공격자들이 새 메일함을 생성.
3. 이 새 메일함 통해 사실상 고차원적인 BEC 공격 수행 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기