Home > 전체기사
MS, 블루킵 공격 발생하자 “앞으로 더 파괴적일 것” 경고
  |  입력 : 2019-11-11 09:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
지난 주 발생한 사상 첫 블루킵 익스플로잇 공격...모네로 채굴이 목적
MS는 여러 지표 조사해 공격 가능성 높아지고 있다고 경고...랜섬웨어가 될 수도


[보안뉴스 문가용 기자] 블루킵(BlueKeep) 취약점이 드디어 실제 공격자들 손에 익스플로잇 되었다는 소식이 있고 나서, 마이크로소프트가 “앞으로 더 많은 공격에 활용될 가능성이 높다”는 경고의 메시지를 발표했다. 지난 주 일부 공격자가 암호화폐 채굴 코드를 배포하는 데에 블루킵 취약점을 활용했던 것이 발견된 바 있다.

[이미지 = iclickart]


마이크로소프트는 “이번에는 다행히 암호화폐 채굴 코드로 끝났지만 다음에는 랜섬웨어를 비롯해 더 파괴적인 페이로드가 배포될 수 있다”는 입장이다. 아직까지 실제로 그런 공격이 발생한 사례는 없지만 “시간 문제일 뿐”이라고 믿고 있다.

블루킵 취약점은 CVE-2019-0708로, 윈도우 원격 데스크톱 서비스(RDS)에서 발견된 오류이며 ‘워머블(wormable)’ 특성을 가지고 있다. 멀웨어가 웜 방식으로 퍼져갈 수 있게 해준다. 지난 주 누군가 암호화폐 채굴 멀웨어를 블루킵을 통해 퍼트리려다가 발각된 바 있다.

마이크로소프트는 블루킵 취약점에 대한 패치를 올해 5월 14일에 배포했다. 당시 마이크로소프트는 해당 취약점이 매우 위험한 것이라고 판단해 이례적으로 윈도우 XP를 위한 패치도 발표했다. 보안 권고문 역시 여러 차례 발표했으며, FBI까지도 패치를 종용했다. 그럼에도 패치되지 않은 시스템이 아직도 많은 것으로 알려져 있다.

최초의 블루킵 익스플로잇으로 보이는 이번 암호화폐 채굴 공격은 블루킵 취약점이라는 이름을 제일 먼저 붙인 보안 전문가 케빈 뷰몬트(Kevin Beaumont)가 10월 23일 발견했다. 공격자는 모네로(Monero) 암호화폐를 채굴하기 위해 블루킵을 익스플로잇 한 것으로 보인다.

뷰몬트는 이번 공격을 영국의 보안 전문가인 마커스 허친스(Marcus Hutchins)와 함께 분석했다. 그 결과 지난 9월에 발표된 블루킵 메타스플로잇(BlueKeep Metasploit) 모듈이 이번 공격에 활용되었다는 걸 파악할 수 있었다. 하지만 마이크로소프트는 “해당 모듈의 행위 기반 탐지 기능이 9월 초에 마이크로소프트 디펜더 ATP 고객들에게 배포됐다”며, “이를 설치한 고객들은 위험에 노출되지 않았다”고 주장했다.

블루킵 메타스플로잇 모듈은 아직 꽤나 불안정한 모습을 보여주고 있다고 한다. “RDP 기능과 관련해서 꽤나 자주 시스템 마비 상태를 일으킵니다. 마이크로소프트는 이러한 정보를 활용해 공격이 발생할 때마다 이를 추적할 수 있었던 것으로 보입니다.” 뷰몬트의 설명이다.

그렇다는 건, 정말로 MS의 우려처럼 블루킵을 통한 공격이 조만간 늘어날 전망이라면, RDP 기능과 관련된 서비스 및 시스템 마비 현상이 증가하는 것을 관찰할 수 있어야 한다는 뜻이 된다. 실제로 9월 6일부터 RDP 서비스가 중간에 멈추거나 마비되는 현상이 매일 10에서 100건으로 10배 증가했다. 9월 6일은 블루킵 메타스플로잇 모듈이 발표된 날이다.

또한 10월 9일부터 시작해 메모리 변형으로 인한 시스템 마비 및 서비스 중단 현상 또한 증가하기 시작했다고 한다. 10월 23일부터는 외부 보안 전문가들의 허니팟들에서 시스템 마비 및 서비스 중단 현상이 잡히기 시작했다.

“이렇게 수집된 증거들과 데이터들을 봤을 때 블루킵으로 암호화폐를 채굴하려던 공격자는 이미 9월에도 또 다른 채굴 코드를 배포하기 위한 목적으로 캠페인을 벌인 것을 알 수 있습니다. 같은 C&C 인프라와 얽힌 임플란트가 발견되기도 했습니다. 이 C&C 인프라는 이스라엘이 호스팅 되어 있는 것으로 나타났습니다.”

MS가 추적하고 조사한 바에 따르면 블루킵을 통한 암호화폐 채굴 공격에 당한 시스템은 프랑스, 러시아, 이탈리아, 스페인, 우크라이나, 독일, 영국 등에서 주로 발견되고 있다고 한다.

“공격자는 제일 먼저 인터넷에 연결된 RDP 서비스들 중 블루킵 취약점이 있는 것을 스캔했을 것입니다. 그런 후 블루킵 메타스플로잇 모듈을 활용해 파워셸 스크립트들을 실행시켰을 것이고, 이를 통해 암호화폐 채굴 코드를 로딩했을 가능성이 높습니다.” MS의 설명이다.

“결국 블루킵 취약점을 패치하지 않는다면, 블루킵은 언제까지라도 현대 네트워크에 꺼림칙하게 남아 있는 위협거리가 될 것입니다. 패치 후에라도 크리덴셜을 제대로 관리 및 보호하지 않는다거나, 전체적인 보안 인식이 개선되지 않는다면 블루킵 같은 취약점은 어디서나 다시 나타날 수 있습니다. 윈도우 사용 고객들이라면 최대한 빨리 업데이트를 적용하시기를 권장합니다.”

3줄 요약 1. 지난 5월 블루킵 취약점 패치한 MS, 그때부터 이미 여러 번 경고.
2. 최근 블루킵 익스플로잇 한 실제 공격 등장하자 MS는 다시 한 번 경고.
3. 블루킵 메타스플로잇을 활용한 활동들, 9~10월 사이에 자주 발견됐음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제