한국인터넷진흥원, MS 익스체인지 서버 취약점 사고사례 담은 보고서 발간

취약점 패치 진행했어도 이미 시스템 장악 당했다면 별도의 조치 필요해

미국에서 역대급 해킹사고로 손꼽히고 RSA 콘퍼런스에서 새로운 제로데이가 발표되자 5분 만에 해커들이 스캔을 시작하기도 한 ‘MS 익스체인지 서버(MS Exchange Server) 취약점’ 사고가 당초 알려진 것과 달리 국내에서도 사고사례가 발생한 것으로 알려졌습니다.

▲MS 익스체인지 서버의 2021년 취약점을 악용한 공격 절차[자료=KISA]

한국인터넷진흥원(KISA)은 5월 28일, ‘MS 익스체인지 서버 취약점 악용 분석 사례 기술보고서’를 발표하고, 취약점을 악용한 공격기법과 피해기업 사례를 분석한 연구자료를 공개했습니다. KISA는 MS 익스체인지 서버가 메일과 연락처, 일정 등의 기능을 제공하는 협업 소프트웨어로 많은 사용자를 확보하고 있어 이를 노린 공격이 많다면서 국내에서도 MS 익스체인지 서버를 대상으로 한 침해사고들이 발생했다고 밝혔습니다. 아울러 KISA 사고분석팀은 이와 관련한 피해기업의 침해사고 분석과 확산 방지를 위한 조치를 취했다고 설명했습니다.

특히, 사고분석팀은 침해사고 분석 중 2가지를 알려야할 필요성을 느껴 보고서를 작성하게 됐다고 말했습니다. 첫 번째는 MS 익스체인지 서버 운영자가 해당 취약점에 대해 확인할 수 있는 사항의 정리 필요성 때문입니다. 이에 이번 보고서에는 해당 취약점을 악용한 공격기법 및 공격자가 남기는 공격흔적(침해지표, IoC)을 연구·분석해 정리했습니다.

두 번째는 침해사고 이후에도 패치만 하면 된다는 오해를 바로 잡아야 한다는 것입니다. 이는 침해사고 인터뷰 중 피해기업이 자사 시스템을 장악 당해도 패치만 하면 된다는 오해를 했다는 것을 알았기 때문입니다. 사고분석팀은 침해사고에 대한 별도의 조치가 필요하다면서, 또한 공격대상이 될 수 있는 서버들도 알려져 있는 대상과 달라 정확한 가이드 문서가 필요하다고 강조했습니다.

MS 익스체인지 서버 취약점 악용한 공격기법 개요

1. 대상선정(Reconnaissance)

대상선정은 공격자가 공격 성공 가능성이 높은 대상을 찾는 단계입니다. 취약점 스캐너 도구, 온라인 스캔 정보 사이트를 활용하기도 하고, 직접 무작위 포트 스캔 등을 통해 취약한 메일 서버를 파악합니다. 공격자는 이를 통해 2021년 3월에 발표된 패치를 적용하지 않은 MS 익스체인지 서버를 사용하는 기업을 공격 대상으로 선정할 수 있습니다.

2. 초기공격(Initial Access), 권한상승(Privilege Escalation)

공격자는 메일서버의 취약점(CVE-2021-26855)을 공격할 수 있는 공격코드(PoC) 등을 이용해 공격을 수행하며, 성공시 메일서버에 침투할 수 있는 일부 권한을 획득하게 됩니다.

3-1. 파일 쓰기 취약점 실행(Execution)

공격자는 임의의 경로에 파일을 생성하거나 수정할 수 있는 파일 쓰기 취약점(CVE-2021-26858 또는 CVE-2021-27065)을 악용합니다. 공격자는 이를 발판으로 4-1에서 웹셸을 생성하고 추가 공격을 할 수 있습니다.

3-2. 역직렬화 취약점 실행(Execution)

공격자는 메일서버에 침투한 후 3-1의 방법을 사용하지 않더라도 역직렬화 취약점(CVE-2021-26857, 직렬화된 수신 데이터를 다시 객체로 변형하는 과정에서 발생하는 취약점)으로 관리자 권한을 획득해 시스템을 장악할 수 있습니다. 이후 공격자는 4-2의 공격방법을 이어갑니다.

4-1. 지속공격(Persistence)

공격자는 3-1에서 파일 쓰기 취약점을 사용했으며, 이를 통해 공격자는 웹셸을 생성하거나 업로드했습니다. 이후 공격자는 이 웹셸을 통해 메일서버에 지속적으로 접근했습니다.

4-2. 권한상승(Privilege Escalation)

공격자는 3-2의 역직렬화 취약점을 통해 시스템 관리자 권한을 획득했습니다. 따라서 공격자는 메일서버를 향후 공격자가 원하는 대로 사용하기 위해 다양한 추가 공격이 가능합니다. 실제 공격자는 추가 공격을 위한 다양한 시스템 명령어들을 수행했는데, 그중 대표적인 것으로 배치파일(.bat)이나 파워쉘 스크립트를 사용해 주기적으로 악성코드에 계속 감염될 수 있는 환경을 만드는 것이었습니다.

5. 추가공격

공격자는 이후 자신의 목적에 따른 공격을 수행했습니다. 해외에서는 이번 취약점으로 랜섬웨어에 감염된 기업사례가 많았지만, KISA가 분석했던 국내 피해기업의 경우 내부 침투목적의 원격제어 악성코드들의 전파 흔적이나 랜섬웨어 감염은 없었다고 보고서는 밝혔습니다.

사례분석 1 : 아웃룩 통한 2차 감염 시도

공격자가 취약한 MS 익스체인지 서버를 공격할 때 특정 취약점(CVE-2021-26855)을 반드시 사용하지만, 그 이후 어떤 취약점(파일 쓰기 취약점, 역직렬화 취약점)을 악용하느냐에 따라 공격방법을 2가지로 구분할 수 있습니다. 이번 사례는 파일 쓰기 취약점(CVE-2021-26858 또는 CVE-2021-27065)을 악용한 경우입니다.

▲사례1 침해사고 개요도[자료=KISA]

공격자는 검색을 통해 대상을 물색한 후 취약점(CVE-2021-26855) 공격코드를 주입해 메일서버 권한을 획득했습니다. 이후 OAB(Offline Address Book) 설정 파일에 한줄 웹셸을 삽입해 내부 전파를 시도했습니다.

사례분석 2 : 관리자 권한 획득 후 계정정보 유출

공격자는 사례 1과 같이 취약점 코드(CVE-2021-26855)를 주입해 또 다른 피해기업의 익스체인지 서버에 침투했습니다. 앞선 사례와 달리 이 기업을 공격한 이는 웹셸을 통해 악성코드를 업로드하고, 관리자 권한 획득을 위한 침투를 이어갔다는 점입니다. 이 과정에서 공격자는 역직렬화 취약점(CVE-2021-26857)을 사용했으며, 관리자 권한으로 악성행위를 하는 파워쉘 코드를 윈도우 스케줄러에 등록했습니다.

▲사례2 침해사고 개요도[자료=KISA]

파워쉘 코드는 주기적으로 추가 악성코드를 다운받아 실행하는 내용으로, 공격자는 이를 통해 원하는 목적의 악성코드를 추가로 설치하거나 최신 버전으로 유지할 수 있었습니다. 이러한 방법을 이용해 공격자는 IIS에서 호출하는 dll 형태의 백도어 악성코드를 설치해 IIS 계정정보를 유출한 것으로 추정됩니다.

KISA 사고분석팀은 이번 사고분석에서 침해사고를 당한 기업들이 빠른 신고로 인해 치명적인 피해나 내부 확산이 심각해지기 전에 조치를 취할 수 있었지만, 공격자와 운영 기업간 정보 습득 및 대응 간격이 큰 점은 아쉬웠다고 설명했습니다. 취약점 공지 및 패치가 발표됐을 때, 공격자들은 이를 확인하고 발 빠르게 관련 공격코드를 구해 공격기법으로 활용했지만, 기업에서는 취약점 패치의 필요성과 침해여부 확인 방안조차 모르고 있었기 때문입니다.

이에 사고분석팀은 기업이 보안조직을 활성화하고, 신규 취약점 등을 주기적으로 모니터링 하면서 관련 내용이 공지됐을 때 공격자보다 빠르게 대응해야 한다고 강조했습니다. 또한, 빠른 대응이 어려울 경우를 대비해 평소 기업 내 보안정책을 수립하고 공격자의 단계별 침투에 대응해 피해를 최소화해야 한다고 조언했습니다.

출처: 보안뉴스

제품에 대해 궁금한 점이 있으신가요?
빠르고 정확한 답변을 도와드리겠습니다.

TEL : 031-784-8500~1
E-mail : sales@pplus.co.kr