Home > 전체기사
마이크로소프트 팀즈, 공격자들의 다운로더로 활용 가능하다
  |  입력 : 2020-08-06 15:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
업데이트 파일 다운로드 방식을 악용하면 가짜 파일을 시스템에 심을 수 있어
팀즈 자체는 정상...가짜 업데이트 파일도 정상으로 간주...경보 울리지 않아


[보안뉴스 문가용 기자] 보안 업체 트러스트웨이브(Trustwave)의 전문가들이 마이크로소프트 팀즈(Teams)의 업데이트 장치를 사용해 멀웨어를 설치할 수 있다는 것을 발견했다. 팀즈 업데이트에 사용되는 update.exe 파일을 사용해 업데이트에 필요한 바이너리가 아니라 악성 바이너리를 받으면 보안 프로그램에 전혀 탐지되지 않는다고 한다.

[이미지 = utoimage]


“정상적인 update.exe 실행파일을 통해 임의의 바이너리를 다운로드 할 방법이 존재합니다.” 트러스트웨이브의 수석 연구 책임자인 칼 시글러(Karl Sigler)의 설명이다. “팀즈는 마이크로소프트의 제품으로 굉장히 많은 시스템에 설치가 되어 있습니다. 공격자들이 악용하기에 딱 좋은 제품이죠. 게다가 기존 프로그램이나 업데이트 파일을 오염시키는 게 아니라 정상적인 도구를 나쁘게 사용하는 것일 뿐이라 경보가 울리지도 않습니다. 팀즈를 둘러싼 트래픽은 노이즈가 심한 편이라 악성 트래픽이 더 눈에 안 띄기도 합니다.”

이러한 공격 방법을 제일 먼저 찾아낸 건 트러스트웨이브의 리건 자야폴(Reegan Jayapaul)로, “팀즈가 HTTP와 HTTPS를 통해 뭔가를 다운로드 받을 수 있다”는 걸 발견한 것부터 조사가 시작됐다고 한다. “즉 공격자가 업데이트용 패킷을 다운로드 받는 웹 서버만 살짝 변경하면 임의의 파일을 다운로드시킬 수 있다는 뜻이죠. 그래서 MS 측은 HTTP와 HTTPS 통신 기능을 삭제했습니다.”

그런데 MS의 패치가 완벽하지 않았다. “HTTP와 HTTPS를 통한 다운로드 기능이 삭제되었지만, 공격자들은 SMB 공유 자원을 사용하여 비슷한 공격을 이어갈 수 있습니다. 예를 들어 삼바(Samba) 서버를 설정하고, 이를 SMB로 접근 가능하게 만든 다음, 여기서부터 update.exe가 자원을 다운로드 받도록 만들면 됩니다.”

그렇다면 공격자는 어떻게 update.exe가 다른 곳에서 다른 페이로드를 다운로드 받도록 할 수 있을까? 시글러는 실험을 위해 먼저 원격 삼바 서버를 구축해 원격에서 접근할 수 있도록 해두었다. 참고로 삼바는 오픈소스 소프트웨어로, 리눅스 시스템에서 주로 사용된다. 리눅스 시스템에서 윈도우 네트워크에 접속해 자원을 공유할 때 유용하다.

삼바 서버 구축 완료 후 시글러는 악성 페이로드를 해당 서버에 호스트했다. “물론 아무 악성 파일을 아무렇게 가져다 놓는 것으로 다 되는 건 아닙니다. 윈도우 업데이트 패키지처럼 만들어져야 합니다. 팀즈라는 소프트웨어가 업데이트 파일로 오해해야 합니다. 예를 들어 마이크로소프트 웹사이트로부터 팀즈 패키지에 접근한 후, 패키지를 풀고 정상 업데이터를 삭제하고 악성 페이로드를 포함시킨 후 다시 압축시키는 방식을 취한다면 팀즈를 속일 수 있습니다.”

이렇게 파일을 그럴듯하게 만들어 삼바 서버에 올려둔 후라면 이제 피해자의 네트워크에 침투하는 일이 남았다. 이는 피싱 공격이나 또 다른 취약점 익스플로잇, 소셜 엔지니어링 공격 등을 통해 해결이 가능하다. 침투 후에는 팀즈를 마치 악성 코드 다운로더처럼 활용할 수 있게 된다. 업데이트를 시작해 미리 작업을 해 둔 삼바 서버로 경로를 변환시키면 되니까 말이다.

“피해자의 시스템에 있는 건 ‘마이크로소프트 팀즈’라는 지극히 정상적인 바이너리만 있을 뿐입니다. 그것이 공격에 활용될 뿐이죠. 악성 코드 탐지 소프트웨어로서는 팀즈를 걸러낼 이유가 하나도 없으니 당연히 경고가 나올 일도 없습니다. 하지만 이 소프트웨어를 업데이트 시키는 순간 악성 파일이 어디서부턴가 다운로드 됩니다. 이 악성 파일이 무엇이냐에 따라 피해자의 시스템에서 여러 가지 공격을 실행할 수 있습니다.”

트러스트웨이브 측은 마이크로소프트에 연락했다. 마이크로소프트는 이것을 ‘설계 오류’로 분류하고, 패치할 수 없다고 답했다. 이미 너무나 많은 팀즈 사용자와 고객들이 UNC 공유를 통해 업데이트를 배포하고 있기 때문에 현재 팀즈의 업데이트 방식을 바꿀 수 없다는 것이었다.

대신 MS는 보안 강화 방식을 제안했다고 한다. “먼저 레지스트리를 잠금으로써 공격자가 SMB 서버를 인증된 업데이트 다운로드용 서버로 등록시키지 못하도록 할 수 있습니다. 업데이트 파일을 다운로드 받을 서버를 공격자가 설정하지 못한다면 위에 설명한 공격이 성립되지 않습니다. 또한 SMB 경로를 제한함으로써 공격자가 원격에 있는 공유 자원에 연결시키지 못하도록 해두는 것도 좋은 방법입니다.”

그 외에 시글러는 팀즈 업데이트와 관련된 트래픽과 행동 패턴들을 면밀히 모니터링 하는 것도 권장한다. “팀즈의 트래픽에는 노이즈가 원래 많습니다. 따라서 누가 어떤 기묘한 방법으로 공격을 시도할지 모르는 겁니다. 노이즈가 많은 트래픽일수록 더 면밀히 모니터링하는 게 맞겠죠.”

3줄 요약
1. 마이크로소프트 팀즈가 공격자들을 위한 다운로더로 활용 가능하다?
2. 업데이트 원리만 살짝 악용하면, 실제 업데이트 파일이 아니라 악성 파일 실행시킬 수 있음.
3. 마이크로소프트는 ‘설계 오류’이기 때문에 패치가 불가능하다는 입장.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)