미국 CISA, 익스체인지 사태 통해 차이나 초퍼 퍼지는 것 경고

입력 : 2021-03-16 16:14

차이나 초퍼라는 원격 웹셸이 취약한 익스체인지 서버들로 퍼지는 중이라고 미국 정부가 경고했다. 우리가 알고 있는 것보다 더 많은 APT 단체들이 이 공격에 뛰어들었다는 뜻이 된다. 이에 MS는 무료 위험 완화 도구를 배포하기 시작했다.

[보안뉴스 문가용 기자] 미국 정부가 마이크로소프트 익스체인지 서버 취약점과 관련된 보안 권고 사항을 최신화 하며 차이나 초퍼(China Chopper)라는 웹셸 내용을 추가했다. 이러한 내용은 국토안보부 산하 사이버 보안 전담 조직인 CISA가 운영하는 ‘마이크로소프트 익스체인지 서버 취약점 완화’ 웹 페이지에 올라와 있다.


3월 13일자로 최신화 된 권고문에는 7개의 멀웨어 분석 보고서들이 추가됐는데 전부 다른 차이나 초퍼 웹셸과 관련된 내용들이다. 공격자들이 패치되지 않은 익스체인지 서버에 침투한 후에 차이나 초퍼를 심는 것이 발견되고 있어서 이러한 경고가 추가된 것이다. 공격자들은 자신들이 침투한 시스템에서 원격 관리자처럼 행동하기 위해 차이나 초퍼를 심는다고 한다.

웹셸은 사이버 공격에서 여러 가지 역할을 담당한다. 공격자에게 원격 관리자 역할을 부여하는 것이 기본인데, 이를 통해 공격자들은 크리덴셜과 같은 민감한 정보를 추출하거나 추가 멀웨어를 설치할 수 있게 된다. 그리고 그 추가 멀웨어를 통해 공격의 수위를 넓히는 것도 가능하다. 또한 웹셸 자체를 통하여 호스트에 명령을 전달하는 것도 가능하고, 호스트를 C&C 서버로서 활용할 수도 있다.

차이나 초퍼 웹셸은 최근 여러 공격자들이 사용하기 시작한 것으로 사이넷(Cynet), 팔로알토 네트웍스(Palo Alto Networks), 레드카나리아(Red Canary) 등과 같은 보안 업체들이 전부 목격하고 있다. 한 줄짜리 스크립트로 매우 가볍다는 특징을 가지고 있으며, 익스체인지 서버 사태 이전에도 많은 공격자들이 사용하기 시작했었다. 이번 사태로 인해 새롭게 불거진 위협은 아니라는 것이고, 따라서 CISA의 권고만 받아들인다면 대처가 가능하다는 뜻이다.

다만 보안 업체 시큐리티스코어카드(SecurityScorecard)에 의하면 현재 익스체인지 사태의 공격자들이 사용하는 차이나 초퍼는 두 가지 버전으로 나뉜다고 한다. 하나는 이전부터 발견된 버전이고, 두 번째 버전은 좀 더 상향된 모습을 보이고 있다고 시큐리티스코어카드는 자사 블로그를 통해 밝혔다. 공격 기술에서 약간의 진화가 있었다고 하는데, 이 부분에 대해서는 아직 정확히 분석되지 않았다.

“차이나 초퍼는 주로 APT 단체들이 사용하는 공격 도구입니다. 취약한 마이크로소프트 익스체인지 서버들에서 차이나 초퍼들이 자꾸만 발견된다는 건, APT 단체들이 지금 거세게 활동 중이라는 걸 보여줍니다. 현재까지 밝혀진 것보다 더 많은 공격자들이 여기에 연루되어 있는 것으로 예상됩니다.” 사이넷의 설명이다.

또 하나 CISA가 강조하는 건 차이나 초퍼 외에 다른 웹셸들도 이 사태에서 발견되고 있다는 점이다. 시큐리티스코어카드 역시 차이나 초퍼 외에 다른 웹셸들도 발견했다. 파이어아이(FireEye), 크라우드스트라이크(CrowdStrike), 카본 블랙(Carbon Black)과 같은 보안 업체에서 만든 보안 장치나 솔루션들이 네트워크 내에 존재하는지 알려주는 기능을 가진 웹셸들이라고 한다.

한편 마이크로소프트는 사태가 걷잡을 수 없이 심각해지자 보안 점검 툴을 무료로 공개했다. 익스체인지 온프레미스 위험 완화 도구(Exchange On-premises Mitigation Tool, EOMT)라고 하며 구글 검색을 통해 쉽게 찾아볼 수 있다. 보안 전담 인력이 없는 소규모 조직들을 위해 개발했으며, 익스체인지 서버 2013, 2016, 2019 버전에서 작동하는 것을 확인했다고 한다. 하지만 이 도구가 있다고 해서 패치를 하지 않아도 되는 건 아니라고 MS는 강조했다.

이 도구의 사용법은 다음과 같다.
1) 도구를 다운로드 받는다(https://github.com/microsoft/CSS-Exchange/tree/main/Security)
2) 익스체인지 서버에서 실행시킨다.
3) 마이크로소프트 안전 스캐너(https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download)를 사용한다면, 두 가지 도구를 다 사용하는 것이 안전하다.

3줄 요약
1. 현재 익스체인지 사태를 악용하는 공격자들이 차이나 초퍼라는 웹셸 적극 이용 중.
2. 차이나 초퍼 웹셸을 통해 원격 관리자 자격을 얻어 각종 악성 행위를 하는 것이 목표.
3. MS는 무료 점검 및 위험 완화 도구를 공개. 패치를 대체할 수는 없음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [SKT 해킹 사태] 유심 재설정 12일 도...

• 2

  ‘KISA알림.pdf.lnk’ 뜨면, 클릭 ...

• 3

  [이슈칼럼] SKT 해킹 사건, 정보 유출보...

• 4

  [대한민국 상장기업 리포트-3] AI 통합보...

• 5

  명품 브랜드 디올, “해킹으로 고객 정보 유...

• 1

  AI 장착 초강력 ‘악성 봇’, 여행 산업 ...

• 2

  [이슈칼럼] SKT 해킹 사건, 정보 유출보...

• 3

  CJ올리브네트웍스 디지털 인증서 北에 털렸다...

• 4

  포티넷, QKD·PQC로 양자컴 위협 대응

• 5

  ‘KISA알림.pdf.lnk’ 뜨면, 클릭 ...

• 1

  [이슈칼럼] SKT 유심 해킹 사건이 일깨운...

• 2

  삼성도 당했다...‘디지털 사이니지’ 해커 ...

• 3

  마이데이터 전송 이렇게...개인정보위, 개인...

• 4

  [배종찬의 보안 빅데이터] ‘유심 해킹’ S...

• 5

  [2025 개인정보보호 솔루션 리포트] SK...