상세 컨텐츠

본문 제목

마이크로소프트, 지속적인 Log4j 취약점 악용 경고

국내외 보안동향

by 알약4 2022. 1. 6. 09:00

본문

 

Threat actors continue to exploit Log4j flaws in their attacks, Microsoft Warns

 

마이크로소프트가 정부의 지원을 받는 공격자와 사이버 범죄자들이 취약한 시스템에 악성코드를 배포하기 위해 Apache Log4j 라이브러리의 취약점을 지속적으로 악용하려 시도한다고 경고했습니다.

 

마이크로소프트는 고객에 인프라를 검토하여 취약한 버전이 있는지 검토할 것을 권장했습니다. 또한 전문가에 따르면 조직에서는 이미 해킹 당했더라도 이를 깨닫지 못했을 가능성이 있습니다.

 

MSTIC(Microsoft Threat Intelligence Center)에는 아래와 같이 설명했습니다.

 

12월의 마지막 주 동안 악용 시도가 지속적으로 높게 나타났습니다. 많은 공격자가 기존 악성코드 키트와 공격 전술에서 해당 취약점을 악용하는 익스플로잇을 추가한 것을 발견했습니다.”

 

첫 번째 취약점이 공개된 직후 마이크로소프트는 Log4j Log4Shell 취약점을 악용하려는 정부 지원을 받는 공격자에 대해 경고했으며, 계속해서 다른 취약점(CVE-2021-45046, CVE-2021-45105, CVE-2021- 4104, CVE-2021-44832)이 라이브러리에서 발견되었으며 실제 공격에서 악용되었습니다.

 

연구원들이 발견한 대부분의 공격은 대규모 스캔, 코인 채굴, 원격 셸 설정, 레드팀 활동 등이었습니다.

 

일반적인 공격 패턴은 아래와 같은 문자열이 포함된 웹 요청 로그에 나타납니다.

 

<이미지 출처: https://securityaffairs.co/wordpress/126333/breaking-news/log4j-flaws-attacks.html>

 

위 문자열은 컴포넌트에서 "jndi"(Java Naming and Directory Interface), "ldap", "ldaps", "rmi", "dns", "iiop", " http”의 존재 여부를 분석하여 쉽게 식별할 수 있습니다.

 

하지만 공격자는 요청 분석을 기반으로 탐지를 피하기 위해 이러한 요청에 난독화를 추가하고 있었습니다.

 

또한 대량 스캔 시도가 중단될 기미는 보이지 않으며, JNDI를 활용하는 Log5j를 사용한 웹 요청 로그를 생성하기 위해 악성 HTTP 요청을 난독화하여 공격자가 제어하는 사이트에 대한 요청을 수행해 문자열 매칭 탐지 시도를 피하기 위한 노력이 진행 중입니다.

 

<이미지 출처: https://securityaffairs.co/wordpress/126333/breaking-news/log4j-flaws-attacks.html>

 

 

마이크로소프트는 Mirai Tsunami와 같은 기존 봇넷에서 이 취약점을 빠르게 악용할 것이라 경고했으며, 또한 페이로드를 삭제하지 않고 취약점을 통해 데이터 를 유출하는 악성 공격을 계속해서 목격했다고 밝혔습니다.

 

“마이크로소프트는 Mirai와 같은 기존 봇넷이 취약점을 빠르게 도입하여 취약한 Elasticsearch 시스템을 대상으로 암호화폐 채굴기를 배포하는 기존 캠페인, Linux 시스템에 Tsunami 백도어를 배포하는 것을 목격했습니다. 이러한 캠페인 중 다수는 Linux에서 bash 명령을 실행하고 윈도우에서 PowerShell을 실행하기 위해 JDNI:ldap:// 요청에 포함된 Base64 명령을 사용하여 Windows Linux 시스템에 대한 동시 검색 및 악용 활동을 실행하고 있습니다."

 

“마이크로소프트는 또한 페이로드를 드롭하지 않고도 취약점을 통해 데이터 유출을 수행하는 악성 공격을 계속해서 관찰했습니다. 이 공격 시나리오는 공격자가 기밀 및 데이터를 유출이 가능한 SSL 종료 기능이 있는 네트워크 장치에 특히 영향을 미칠 수 있습니다.”

 

전문가들은 또한 인간 개입 공격을 통해 CVE-2021-44228을 악용하여 추가 RAT 및 리버스 셸을 삭제하고 있다고 보고했습니다. 연구원들은 Meterpreter, njRAT(Bladabindi), HabitsRAT와 함께 Cobalt Strike PowerShell 리버스 셸이 악용된 것을 관찰했습니다.

 

연구원들은 Webtoos DDoS 악성코드 또한 Log4Shell 취약점을 통해 배포되었음을 확인했습니다.

 

“많은 소프트웨어와 서비스가 영향을 받고 있으며, 업데이트 속도가 그리 빠르지는 않을 것으로 예상되어 지속적인 경계가 필요합니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/126333/breaking-news/log4j-flaws-attacks.html

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

관련글 더보기

댓글 영역