SolarWinds 백도어용 킬 스위치 개발돼

FireEye, GoDaddy, and Microsoft created a kill switch for SolarWinds backdoor

 

Microsoft, FireEye, GoDaddy에서 SolarWinds 공급망 공격에 사용된 Sunburst 백도어용 킬 스위치를 개발했습니다.

 

지난 주, 러시아와 관련된 해커들이 SolarWinds를 해킹했습니다. 공격자들은 SUNBURST(마이크로소프트는 Solarigate로 명명)라 명명된 백도어를 배포하기 위해 트로이화된 SolarWinds Orion 비즈니스 소프트웨어 업데이트를 사용했습니다.

 

 

 

<이미지 출처 : https://securityaffairs.co/wordpress/112376/apt/solarwinds-backdoor-kill-switch.html>

 

 

회사는 Orion 고객 약 33,000명에게 이 사건에 대해 알렸지만, 18,000명 이하가 해당 제품의 백보드 버전을 사용했을 것이라 밝혔습니다.

 

마이크로소프트는 SolarWinds 공격에서 사용된 주요 도메인(avsvmcloud[.]com)을 빼앗기 위한 작업을 진행하기 위해 다른 사이버 보안 회사와 힘을 합쳤습니다. 이는 다른 시스템이 악성 소프트웨어에 감염되는 것을 방지할 목적으로 모든 피해자들을 식별하기 위함입니다.

 

avsvmcloud[.]com 도메인은 SolarWinds Orion 앱의 변조된 업데이트를 통해 SolarWinds 고객 약 18,000명 에게 제공된 백도어의 명령 및 제어 서버였습니다.

 

SolarWinds Orion 플러그인의 변조된 버전은 네트워크 트래픽을 OIP(Orion Improvement Program) 프로토콜로 위장했으며, 악성 명령인 ‘Jobs’를 받아와 실행하기 위해 HTTP를 통해 C2와 통신했습니다.

 

이 백도어는 파일 전송, 파일 실행, 시스템 서비스 비활성화, 시스템 정보 수집 등 여러 기능을 지원합니다.

 

공격자는 피해자 국가의 VPN 서버를 통해 IP 주소를 난독화하고 탐지를 피했습니다.

 

FireEye에 따르면, C2 서버가 아래 IP 주소 범위 중 하나로 확인될 경우 백도어가 종료되고 다시는 실행되지 않습니다.

 

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
224.0.0.0/3
fc00:: – fe00::
fec0:: – ffc0::
ff00:: – ff00::
20.140.0.0/15
96.31.172.0/24
131.228.12.0/22
144.86.226.0/24

 

FireEye와 Microsoft는 이 정보를 통해 Sunburst 백도어용 킬 스위치를 만들어낼 수 있었습니다.

 

FireEye는 보안 연구원인 Brian Krebs에 아래와 같이 전했습니다.

 

“악성코드가 avsvmcloud[.]com를 확인할 때 반환되는 IP 주소에 따라, 특정 조건에서 악성코드는 자기 자신을 종료시키고 더 이상 실행되지 않습니다. FireEye는 GoDaddy와 마이크로소프트와 협력하여 SUNBURST 감염을 비활성화 시켰습니다.”

 

“이 킬 스위치는 avsvmcloud[.]com을 비커닝 중인 SUNBURST 배포를 비활성화 하여 SUNBURST의 새로운 감염, 그리고 이전 감염에도 영향을 미칠 것입니다. 하지만, FireEye에서 목격한 침입 사건에서는 공격자는 빠르게 추가적인 영구 메커니즘을 구축했습니다.”

 

“공격자가 또 다른 백도어를 설정한 경우, 이 킬 스위치는 피해자의 네트워크에서 공격자를 제거하지는 못합니다. 하지만 그가 이전에 배포한 SUNBURST 버전을 악용하기는 더욱 힘들어집니다.”

 

GoDaddy는 avsvmcloud[.]com의 모든 서브도메인을 20.140.0.1로 변환하는 와일드카드 DNS 변환기를 만들었습니다. 이 변환기는 마이크로소프트가 제어합니다.

 

이 IP 주소는 악성코드가 영구적으로 종료되도록 하는 20.140.0.0/15 범위에 포함되어 있습니다.

 

전문가들은 킬 스위치가 Sunburst 감염만을 해결할 뿐, 해당 공격자가 드롭한 다른 페이로드는 계속 활동할 것이라 강조했습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/112376/apt/solarwinds-backdoor-kill-switch.html

https://krebsonsecurity.com/2020/12/malicious-domain-in-solarwinds-hack-turned-into-killswitch/