Home > 전체기사

국내 기업들도 당했다! MS 익스체인지 서버 취약점 사고사례 살펴보니

  |  입력 : 2021-05-31 15:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국인터넷진흥원, MS 익스체인지 서버 취약점 사고사례 담은 보고서 발간
취약점 패치 진행했어도 이미 시스템 장악 당했다면 별도의 조치 필요해


[보안뉴스 원병철 기자] 미국에서 역대급 해킹사고로 손꼽히고 RSA 콘퍼런스에서 새로운 제로데이가 발표되자 5분 만에 해커들이 스캔을 시작하기도 한 ‘MS 익스체인지 서버(MS Exchange Server) 취약점’ 사고가 당초 알려진 것과 달리 국내에서도 사고사례가 발생한 것으로 알려졌다.

▲MS 익스체인지 서버의 2021년 취약점을 악용한 공격 절차[자료=KISA]


한국인터넷진흥원(KISA)은 5월 28일, ‘MS 익스체인지 서버 취약점 악용 분석 사례 기술보고서’를 발표하고, 취약점을 악용한 공격기법과 피해기업 사례를 분석한 연구자료를 공개했다. KISA는 MS 익스체인지 서버가 메일과 연락처, 일정 등의 기능을 제공하는 협업 소프트웨어로 많은 사용자를 확보하고 있어 이를 노린 공격이 많다면서 국내에서도 MS 익스체인지 서버를 대상으로 한 침해사고들이 발생했다고 밝혔다. 아울러 KISA 사고분석팀은 이와 관련한 피해기업의 침해사고 분석과 확산 방지를 위한 조치를 취했다고 설명했다.

특히, 사고분석팀은 침해사고 분석 중 2가지를 알려야할 필요성을 느껴 보고서를 작성하게 됐다고 말했다. 첫 번째는 MS 익스체인지 서버 운영자가 해당 취약점에 대해 확인할 수 있는 사항의 정리 필요성 때문이다. 이에 이번 보고서에는 해당 취약점을 악용한 공격기법 및 공격자가 남기는 공격흔적(침해지표, IoC)을 연구·분석해 정리했다.

두 번째는 침해사고 이후에도 패치만 하면 된다는 오해를 바로 잡아야 한다는 것. 이는 침해사고 인터뷰 중 피해기업이 자사 시스템을 장악 당해도 패치만 하면 된다는 오해를 했다는 것을 알았기 때문이다. 사고분석팀은 침해사고에 대한 별도의 조치가 필요하다면서, 또한 공격대상이 될 수 있는 서버들도 알려져 있는 대상과 달라 정확한 가이드 문서가 필요하다고 강조했다.

MS 익스체인지 서버 취약점 악용한 공격기법 개요
1. 대상선정(Reconnaissance)

대상선정은 공격자가 공격 성공 가능성이 높은 대상을 찾는 단계다. 취약점 스캐너 도구, 온라인 스캔 정보 사이트를 활용하기도 하고, 직접 무작위 포트 스캔 등을 통해 취약한 메일 서버를 파악한다. 공격자는 이를 통해 2021년 3월에 발표된 패치를 적용하지 않은 MS 익스체인지 서버를 사용하는 기업을 공격 대상으로 선정할 수 있다.

2. 초기공격(Initial Access), 권한상승(Privilege Escalation)
공격자는 메일서버의 취약점(CVE-2021-26855)을 공격할 수 있는 공격코드(PoC) 등을 이용해 공격을 수행하며, 성공시 메일서버에 침투할 수 있는 일부 권한을 획득하게 된다.

3-1. 파일 쓰기 취약점 실행(Execution)
공격자는 임의의 경로에 파일을 생성하거나 수정할 수 있는 파일 쓰기 취약점(CVE-2021-26858 또는 CVE-2021-27065)을 악용한다. 공격자는 이를 발판으로 4-1에서 웹셸을 생성하고 추가 공격을 할 수 있다.

3-2. 역직렬화 취약점 실행(Execution)
공격자는 메일서버에 침투한 후 3-1의 방법을 사용하지 않더라도 역직렬화 취약점(CVE-2021-26857, 직렬화된 수신 데이터를 다시 객체로 변형하는 과정에서 발생하는 취약점)으로 관리자 권한을 획득해 시스템을 장악할 수 있다. 이후 공격자는 4-2의 공격방법을 이어간다.

4-1. 지속공격(Persistence)
공격자는 3-1에서 파일 쓰기 취약점을 사용했으며, 이를 통해 공격자는 웹셸을 생성하거나 업로드했다. 이후 공격자는 이 웹셸을 통해 메일서버에 지속적으로 접근했다.

4-2. 권한상승(Privilege Escalation)
공격자는 3-2의 역직렬화 취약점을 통해 시스템 관리자 권한을 획득했다. 따라서 공격자는 메일서버를 향후 공격자가 원하는 대로 사용하기 위해 다양한 추가 공격이 가능하다. 실제 공격자는 추가 공격을 위한 다양한 시스템 명령어들을 수행했는데, 그중 대표적인 것으로 배치파일(.bat)이나 파워쉘 스크립트를 사용해 주기적으로 악성코드에 계속 감염될 수 있는 환경을 만드는 것이었다.

5. 추가공격
공격자는 이후 자신의 목적에 따른 공격을 수행했다. 해외에서는 이번 취약점으로 랜섬웨어에 감염된 기업사례가 많았지만, KISA가 분석했던 국내 피해기업의 경우 내부 침투목적의 원격제어 악성코드들의 전파 흔적이나 랜섬웨어 감염은 없었다고 보고서는 밝혔다.

사례분석 1 : 아웃룩 통한 2차 감염 시도
공격자가 취약한 MS 익스체인지 서버를 공격할 때 특정 취약점(CVE-2021-26855)을 반드시 사용하지만, 그 이후 어떤 취약점(파일 쓰기 취약점, 역직렬화 취약점)을 악용하느냐에 따라 공격방법을 2가지로 구분할 수 있다. 이번 사례는 파일 쓰기 취약점(CVE-2021-26858 또는 CVE-2021-27065)을 악용한 경우다.

▲사례1 침해사고 개요도[자료=KISA]


공격자는 검색을 통해 대상을 물색한 후 취약점(CVE-2021-26855) 공격코드를 주입해 메일서버 권한을 획득했다. 이후 OAB(Offline Address Book) 설정 파일에 한줄 웹셸을 삽입해 내부 전파를 시도했다.

사례분석 2 : 관리자 권한 획득 후 계정정보 유출
공격자는 사례 1과 같이 취약점 코드(CVE-2021-26855)를 주입해 또 다른 피해기업의 익스체인지 서버에 침투했다. 앞선 사례와 달리 이 기업을 공격한 이는 웹셸을 통해 악성코드를 업로드하고, 관리자 권한 획득을 위한 침투를 이어갔다는 점이다. 이 과정에서 공격자는 역직렬화 취약점(CVE-2021-26857)을 사용했으며, 관리자 권한으로 악성행위를 하는 파워쉘 코드를 윈도우 스케줄러에 등록했다.

▲사례2 침해사고 개요도[자료=KISA]


파워쉘 코드는 주기적으로 추가 악성코드를 다운받아 실행하는 내용으로, 공격자는 이를 통해 원하는 목적의 악성코드를 추가로 설치하거나 최신 버전으로 유지할 수 있었다. 이러한 방법을 이용해 공격자는 IIS에서 호출하는 dll 형태의 백도어 악성코드를 설치해 IIS 계정정보를 유출한 것으로 추정된다.

KISA 사고분석팀은 이번 사고분석에서 침해사고를 당한 기업들이 빠른 신고로 인해 치명적인 피해나 내부 확산이 심각해지기 전에 조치를 취할 수 있었지만, 공격자와 운영 기업간 정보 습득 및 대응 간격이 큰 점은 아쉬웠다고 설명했다. 취약점 공지 및 패치가 발표됐을 때, 공격자들은 이를 확인하고 발 빠르게 관련 공격코드를 구해 공격기법으로 활용했지만, 기업에서는 취약점 패치의 필요성과 침해여부 확인 방안조차 모르고 있었기 때문이다.

이에 사고분석팀은 기업이 보안조직을 활성화하고, 신규 취약점 등을 주기적으로 모니터링 하면서 관련 내용이 공지됐을 때 공격자보다 빠르게 대응해야 한다고 강조했다. 또한, 빠른 대응이 어려울 경우를 대비해 평소 기업 내 보안정책을 수립하고 공격자의 단계별 침투에 대응해 피해를 최소화해야 한다고 조언했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)