WebLogic 취약점을 이용한 GreyStars 랜섬웨어 공격 주의!

4월 21일, 익명의 해커가 Weblogic 역직렬화 취약점을 이용하여 중국 기업의 서버들에 Greystars 랜섬웨어를 감염시켰으며, 서버 중의 중요 문서를 암호화 한 후 0.08비트코인을 요구하였습니다. 

현재까지 이미 백여대가 넘는 서버들이 해당 공격에 영향을 받은 것으로 확인되었습니다. 

"파일리스" 공격방식을 이용, 공격 페이로드는 Gist에 호스팅

Greystars 랜섬웨어는 최근 몇년 동안의 공격에서 줄곧 "파일리스" 공격방식을 사용하였습니다. 

이번 공격 역시 파일리스 공격 방식을 이용하였습니다. 해커는 Weblogic 역직렬화 취약점을 이용하여 서버를 공격하고, Gist에 호스팅 되어있던 첫번째 페이로드를 감염 시킨 서버로 내려받고 실행시킵니다. 

<이미지 출처 : https://www.anquanke.com/post/id/106602>

첫번째 페이로드는 Gist에 업로드 되어있는 악성코드가 포함된 이미지를 읽어온 후 해당 이미지 안에서 두번째 페이로드를 내려받습니다. 그 후 PowerShell 프로세스 중에서 실행시킵니다. 

해커가 성공적으로 Weblogic 역직렬화 취약점을 이용하여 서버에 침투한 후 다음과 같은 명령어를 이용하여 호스팅 된 주소에서 공격 페이로드를 내려받아 실행시킵니다. 

<이미지 출처 : https://www.anquanke.com/post/id/106602>

대부분의 해커들이 개인 도메인을 페이로드 다운로드 주소로 사용하는것과 달리, Greystars 랜섬웨어는 Gist에 호스팅 되어있는 페이로드를 사용합니다. 

그 이유는 raw.githubusercontent.com 도메인은 이미 대부분의 백신과 보안제품에서 정상적인 도메인으로 인지하고 있기 때문에 효과적으로 악성페이로드를 내려줄 수 있는 것입니다. 다만 이러한 방식을 사용하면, 공격자의 신분이 쉽게 노출될 수 있는 단점은 존재합니다. 

"스테가노그래피" 기술을 이용한 악성코드 은닉

첫번째 공격 페이로드의 주요 기능은 악성코드가 포함되어 있는 이미지를 내려받고, 해당 이미지 중 포함되어 있는 악성코드를 실행시키는 것입니다. web.png 이미지는 특별히 제작된 이미지로, 해커는 Invoke-PSImage 툴을 이용하여 해당 이미지 안에 악성코드를 삽입해 놓았습니다. 

Invoke-PSImage는 해외 보안 연구원 Barrett Adams이 개발한 툴로, 악성코드를 이미지의 매 픽셀의 G와 B 두개 색상 채널의 마지막 4bit에 삽입시킬 수 있습니다. 

<이미지 출처 : https://www.anquanke.com/post/id/106602>

위 이미지는 Invoke-PSImage의 간단한 동작원리입니다. 

색상 채널의 마지막 4bit는 픽셀의 색상에 큰 영향을 끼지지 않기 때문에, Invoke-PSImage를 이용하여 악성코드를 이미지에 삽입해도 원본 이미지와 큰 차이점이 없는 것입니다. 그렇기 때문에 해커들이 "정상을 가장한 이미지"를 Gist에 업로드 시켜놓아도 별다른 의심을 받지 않는 것입니다. 

중요 문서 암호화 및 랜섬머니 요구

두번째 페이로드는 서버 내 랜섬웨어를 실행시킨 후 주요 파일들을 암호화 하는데, 해당 페이로드 역시 Power Shell로 제작되어 있습니다. 

Greystars 랜섬웨어는 컴퓨터 한 대당 AES키를 생성하여 파일들을 암호화 하며, 내장되어있는 RSA 공개키를 이용하여 AES 키를 암호화 합니다. 

이 RSA 공개키는 하드코딩 방식으로 코드 내 인증서 중에 저장되어 있으며, .NET X509Certificates류의 PublicKey 방식으로 얻을 수 있습니다. 

PowerShell 언어는 .NET 메서드를 조작 할 수 있는 유연성을 가지고 있기 때문에 Greystars 랜섬웨어는 이 특징을 이용하여 암호화키 생성과 암호화 키의 암호화 과정을 간단한 PowerShell로 구현하였습니다. 

<이미지 출처 : https://www.anquanke.com/post/id/106602>

Greystar 랜섬웨어는 422종류의 파일들을 암호화 시키며, 여기에는 문서,이미지,DB 파일 뿐만 아니라 서버 운영에 필요한 스크립트 문서들 예를들어 파이선 스크립트. PHP 스크립트 등도 포함되어 있습니다. 

암호화 과정 중 Greystars 랜섬웨어는 C드라이브 하위에 데스크탑 폴더 및 문서 폴더 이외에 다른 목록들을 암호화 대상에서 제외하여 시스템이 정상적으로 운영될 수 있도록 하며, DB와 관련된 프로세스를 종료하여 DB 파일들이 성공적으로 암호화 될 수 있도록  합니다. 

Greystars 랜섬웨어는 "원본 파일 암호화 - 새 파일 생성 - 원본 파일 삭제"의 방식을 이용하며, 일부 읽기 권한밖에 없는 파일에 대해서는 암호화 된 파일이 존재하지 않고 원본 파일이 삭제되는 경우가 발생하기도 합니다. 이러한 경우에는 랜섬머니를 지불하여도 원본 파일을 복구할 수 없게 됩니다. 

[암호화 하는 확장자명]

<이미지 출처 : https://www.anquanke.com/post/id/106602>

암호화 된 파일들은 모두 뒤에 “greystars@protonmail.com”라는 텍스트가 추가되며, 0.08 비트코인을 랜섬머니로 요구하는 랜섬화면을 띄웁니다. 

<이미지 출처 : https://www.anquanke.com/post/id/106602>

Weblogic 서버가 랜섬웨어 공격자들의 환영을 받기 시작해

2017년, Weblogic에서 CVE-2017-3248과 CVE-2017-10271 두가지의 심각한 역직렬화 취약점이 발견되었습니다. 

해당 취약점은 Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.0、12.2.1.1등 다양한 버전이 영향을 받았으며, 많은 공격자들이 이 취약점들을 악용하여 서버에 악성코드를 심었습니다. 

하지만 아직까지 아직 많은 WebLogic 서버들이 해당 취약점들에 대한 패치를 진행하지 않았습니다. 

WebLogic 서버가 랜섬웨어 공격자들의 환영을 받게 된 원인은 다음과 같습니다. 

첫번째, 아직 많은 WebLogic 서버들이 취약점 업데이트를 진행하지 않았습니다. 그렇기 때문에 공격자들의 입장에서 공격 난이도가 낮으며, 적은 노력으로 최대 효과를 낼 수 있습니다. 

두번째, 이런 종류의 서버는 일반적으로 기업들이 사용을 하고 있으며, 기업 사용자들은 일반 사용자들 보다 랜섬머니를 지불하고 암호화 된 파일을 복호화 할 가능성이 크기 때문입니다. 

예방방법

WebLogic 최신버전으로 업데이트

백신 설치

출처 :

https://www.anquanke.com/post/id/106602