포스팅 내용

국내외 보안동향

SMB 취약점의 위협은 아직 끝나지 않았다

SMB 취약점의 위협은 아직 끝나지 않았다


WannaCry 랜섬웨어 사태 이후, 보안연구원들은 많은 해커들이 Windows SMB 취약점(CVE-2017-0143)을 악용해 공격을 시도한다는 사실을 발견했습니다. 뿐만 아니라 Eternalblue SMB취약점(MS17-010)은 이미 Metasploit에도 추가되어 많은 보안연구원과 해커들이 더 쉽게 해당 취약점을 사용할 수 있게 되었습니다. 


WannaCry와 같은 전세계적인 공격 이외에도, 많은 해커조직과 범죄조직에서 Eternalblue 취약점을 악용하여 크고 작은 공격을 진행하고 있습니다. 이에 이스트시큐리티는 Eternalblue 취약점을 악용한 공격들을 정리해 보았습니다.  . 



1) EternalRocks 웜


5월 17일, 보안연구원은 SMB 취약점을 악용하는 EternalRocks 웜을 발견하였습니다.  WannaCry와 비교하였을 때에도 결코 뒤지지 않는 파급력을 갖고 있었습니다. 이 웜은 총 4개의 SMB 취약점과 3가지의 NSA 해킹툴을 악용하고 있습니다. 


EternalBlue — SMBv1 취약점

EternalRomance — SMBv1 취약점

EternalChampion — SMBv2 취약점

EternalSynergy — SMBv3 취약점

SMBTouch — SMB 스캔툴

ArchTouch — SMB 스캔툴

DoublePulsar — 백도어


이 중 SMBTouch와 ArchTouch 이 두개는 공공 네트워크상에서 SMB 포트를 스캔하고 탐지하는 툴입니다. 


디바이스를 감염시킨 후, EternalRocks는 두 단계로 나누어 설치됩니다. 첫 번째는 감염 디바이스의 메인프레임을 찾아 토르 클라이언트를 설치하고, C&C서버에 접속합니다. C&C 서버는 24시간 이후에 응답하며, 응답 후 두번째 설치가 시작됩니다. 이를 통해 샌드박스 탐지와 보안 전문가들의 분석을 어렵게 만듭니다. 


상세한 경로는 다음과 같습니다. 


1단계 : 악성프로그램 UpdateInstaller.exe 이 우선 필요한 .NET(TaskScheduler와 SharpZLib )를 내려받고, 다음단계를 위한 준비작업에 들어갑니다. 동시에 svchost.exe와 taskhost.exe를 드랍합니다. svchost.exe는 archive.torproject.org에서 Tor의 다운로드, 압축해제 및 설치를 담당하며, C&C서버의 지령을 받는 역할도 합니다. 


2단계 : 24시간 후, payload가 다운로드됩니다. taskhost.exe의 형식으로 자신을 숨기고, shadowbrokers.zip 툴을 드랍하며, payloads/, configs/ and bins/경로에 압축을 해제합니다. 그 후 오픈되어 있는 SMB(445)포트를 스캔합니다. 


EternalTocks는 WannaCry와 동일한 문서명을 사용하여 보안연구원들에게 혼란을 줍니다. 하지만 WannaCry와는 다르게 킬스위치가 존재하지 않습니다. 설치가 완료된 후에는 IP를 스캔한 후 임의의 IP주소로 연결을 시도합니다. 


EternalRocks는 아직까지 유포된 정황은 포착되지 않았으며, 테스트를 진행한 것으로 추정됩니다. 하지만 공격자는 C&C 서버를 통하여 감염 PC에 명령을 하달할 수 있고, 새로운 악성코드를 내려줄 수도 있습니다. 이밖에 백도어 특징을 가진 NSA의 DOUBLEPULSAR 툴을 이용하여 다른 공격자 역시 이 좀비 네트워크를 악용할 수 있기 때문에 안심할 수는 없습니다. 



2) UIWIX 랜섬웨어 


UIWIX 랜섬웨어는 "Shadow Brokers" 해커조직이 공개한 EternalBlue 취약점인 Windows 시스템의 SMBv1과 SMBv2 취약점을 악용하고 있습니다.


UIWIX 랜섬웨어는 하드디스크에 존재하는 모든 문서를 스캔합니다. 문서, 이미지파일 등과 같은 90여종의 확장자를 암호화할 수 있으며, 파일들을 암호화한 후 확장자를 "UIWIX"로 변경합니다. UIWIX 랜섬웨어가 파일들을 암호화한 후에도 파일 아이콘을 정상적으로 볼 수 있지만 이를 실행할 수는 없습니다.


UIWIX 랜섬웨어는 복호화를 위한 댓가로 0.12비트코인을 요구합니다. 



3) 원격제어 악성코드


허니팟을 분석해본 결과, 5월 초, SMB 취약점을 악용한 공격들이 많이 증가한 것으로 확인되었습니다. 그 중 한가지 공격은 RAT공격이었습니다. 하지만 WannaCry와는 다르게 웜의 기능은 포함되어 있지 않았습니다. 


이 악성코드의 최초 유포지는 182.18.23.38로 중국에 위치해 있습니다. 공격자들은 SMB취약점을 성공적으로 악용한 후 암호화된 payload를 shellcode형식으로 전송합니다. 보안연구원들은 이 shellcode중 포함된 DLL을 발견하였습니다. 


이 악성코드가 내려받는 파일 중 한개는 445번 포트를 닫는 역할을 합니다. 이를 통해 다른 악성코드가 해당 취약점을 악용하는 것을 방지합니다. 또 한 가지 파일은 두 번째 payload라고 볼 수 있습니다. 보안연구원들은 이 악성코드가 레지스트리 실행목록에 다른 악성코드를 다운로드 및 실행을 할 수 있도록 추가하는 것을 확인하였습니다. 


이 악성코드는 사용자 정보 삭제를 시도하며, 각종 프로세스, 파일들의 실행을 종료 혹은 삭제를 시도합니다. 또한 중문 홈페이지인 ForShare 8.28에 연결하여 원격 툴을 내려받는 것으로 확인되었습니다. 이 밖에도 서버로부터 명령을 하달받고, 화면 감시, 키로거, 데이터 탈취 등 악성행위를 하는 것으로 보입니다.



4) Rootkit 설치 및 DDoS 악성코드 


해당 공격은 4월 말 발견되었습니다. Eternalblue 취약점을 악용하였으며, lsass.exe 프로세스 내부에 악성 스레드를 생성합니다. 


이 스레드는 lsass.exe프로세스에 인젝션 될 뿐만 아니라, 인젝션 된 후 payload는 최초 998포트(117.21.191.69)로 연결하여 서버에서 중문 명령을 하달받고, "Agony rootkit"을 기반으로 하는 백도어를 설치합니다. Rootkit 설치 후, payload는 해당 디바이스에 DDoS 공격기능을 가진 중문 악성 프로그램을 설치합니다. 




결론


SMB 취약점을 악용하는 공격은 비단 WannaCry뿐만이 아닙니다. 더욱 심각한 것은, 이러한 공격들이 대규모 공격의 시작에 불과하는 것일 수 있다는 점입니다. 따라서 사용자는 반드시 최신 버전의 윈도우 보안 업데이트를 유지하고, 백신 프로그램 DB 또한 항상 최신으로 업데이트해야 합니다. 또한 낯선 이에게서 전달받은 파일은 함부로 열어보지 않는 습관을 길러야 합니다. 







참고 : 

http://thehackernews.com/2017/05/eternalblue-smb-exploit.html

http://www.securityweek.com/stealth-backdoor-abused-nsa-exploit-wannacrypt

http://www.theregister.co.uk/2017/05/22/eternalrocks_worm/

티스토리 방명록 작성
name password homepage