플레이 랜섬웨어 공격자들, MS 익스체인지의 프록시낫셸을 기발하게 공략

입력 : 2022-12-22 13:14

플레이 랜섬웨어 운영자들이 MS 익스체인지 서버를 공략하기 시작했다. 지난 달 발견되고 패치된 프록시낫셸 취약점과 관련이 있는데, 기존에 알려진 방법을 살짝 꼬았다고 한다. 여러 수단을 동원해도 패치만한 방어법이 없다고 보안 전문가들은 강조한다.

[보안뉴스 문가용 기자] 플레이(Play)라는 이름의 랜섬웨어를 개발하고 운영하는 자들이 새로운 익스플로잇 기법을 개발한 것으로 보인다. MS의 익스체인지 서버(Exchange Server)에서 발견된 원격 코드 실행 취약점을 공략하고 있다고 한다. 문제의 취약점은 초고위험도로 분류됐으며, 11월 MS에서 패치했다. 즉 아직 패치를 적용하지 않는다면 플레이에 감염될 가능성이 높다는 것이다.


문제의 취약점은 CVE-2022-41082로 프록시낫셸(ProxyNotShell)이라는 이름의 취약점들 중 하나다. 익스체인지 서버 2013, 2016, 2019에서 베트남의 보안 업체 GTSC가 11월에 처음 발견했다. 참고로 프록시낫셸이라는 이름이 붙은 취약점이 하나 더 있다. CVE-2022-41040으로, SSRF 버그 중 하나로 분석됐다. 익스플로잇에 성공한 공격자는 권한을 상승시킬 수 있다.

이번 주 보안 업체 크라우드스트라이크(CrowdStrike)는 플레이 랜섬웨어와 연루된 공격자들이 새로운 익스플로잇 공격을 실시하고 있다는 걸 발견했다. CVE-2022-41082가 연루되어 있었다. MS가 이미 프록시낫셸에 대한 위험 완화 대책을 발표했는데, 그것을 무력화시키기 위한 익스플로잇 방법이었다. 공격 순서는 다음과 같았다.

1) 비교적 덜 알려진 SSRF 취약점인 CVE-2022-41080을 먼저 익스플로잇 한다.
2) 1)번 익스플로잇을 함으로써 파월셸 원격 서비스에 접근할 수 있게 된다. 이 때 오토디스커버(Autodiscover) 엔드포인트 대신 아웃룩 웹 액세스(OWA) 프론트엔드를 활용한다. 참고로 이 SSRF 버그도 프록시낫셸의 SSRF 버그와 동일한 CVSS 점수인 8.8점을 가지고 있다.
3) CVE-2022-41080을 통해 파워셸 원격 서비스에 접근하는 데 성공했다면, 이를 통해 문제의 핵심인 CVE-2022-41082를 익스플로잇 할 수 있게 된다.

크라우드스트라이크는 이런 순서로 공격하여 파워셸의 원격 서비스를 악용하는 건 현재까지 한 번도 발견되지 않은 기법이라고 설명한다. “MS가 이전에 발표한 프록시낫셸 대응법은 오토디스커버 엔드포인트로 들어가는 요청들을 차단하는 원리를 가지고 있습니다. 그렇기 때문에 이번에 플레이 랜섬웨어 그룹이 선보인 방법에 대해서는 효력을 발휘하지 못하게 됩니다.” 크라우드스트라이크는 CVE-2022-41080에서 시작하여 CVE-2022-41082로 귀결되는 익스플로잇 방법에 OWASSRF라는 이름을 붙였다.

플레이 랜섬웨어의 새로운 공격의 피해자가 되지 않으려면 MS가 11월 8일에 배포하기 시작한 패치를 적용하는 것이 가장 빠르고 효과가 좋다. “패치를 발표하면서 패치 외 사용할 수 있는 위험 완화 방법도 같이 공개를 했습니다만, 이번 플레이의 공격을 막는 데에는 전혀 의미를 갖지 못합니다. 패치가 불가능한 상황이라면 차라리 OWA를 완전히 비활성화 하는 것이 더 낫습니다.”

크라우드스트라이크는 플레이 랜섬웨어가 MS 익스체인지 환경을 익스플로잇 하는 것을 발견하고 조사를 깊이 하다가 OWASSRF를 발견했다고 한다. 당연히 프록시낫셸 취약점이 연루되었을 것이라고 여겼고 실제로 CVE-2022-41082가 연루된 것을 파악했다. 그런데 CVE-2022-41040을 건드린 흔적은 찾을 수가 없었다. “이상했죠. 그래서 분석을 계속 이어갔더니 엉뚱한 취약점인 CVE-2022-41080이 나왔습니다.”

크라우드스트라이크는 관리자가 아는 사용자들의 계정과 시스템에서는 원격 파워셸 기능을 비활성화 하는 것이 안전하다고 권장한다. “관리자가 아닌 경우에 원격 파워셸을 사용하는 경우는 많지 않죠. 비활성화 한다고 해서 생산성이 크게 저해되지는 않는 게 보통입니다. 예외적인 경우가 있다고 하더라도 꼼꼼하게 검토해서 정말 그 기능이 필요한지, 다른 방법은 없는 건지 조사하는 것도 필요하고요. EDR 솔루션을 사용해 파워셸 프로세스를 유발하는 웹 서비스들을 탐지해 내는 것도 중요합니다. 이런 건 일반적인 사이버 공격을 예방하는 데에도 적잖이 도움이 되는 실천 사항입니다.”

3줄 요약
1. 프록시낫셸이라는 취약점을 새롭게 익스플로잇 하는 방법이 나타남.
2. 제일 먼저 활용하기 시작한 건 플레이 랜섬웨어 운영자들.
3. 패치를 하는 게 가장 좋지만, 상황이 허락하지 않는다면 OWA를 비활성화.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  언더그라운드 랜섬웨어, 텔레그램에 탈취 정보...

• 2

  [기획특집] 에스원과 SK쉴더스, KT텔레캅...

• 3

  “제가 보낸 DM 누르지 마세요”... 유명...

• 4

  디스코드 봇에 숨겨진 RAT 악성코드... ...

• 5

  [인터뷰] 에이앤티코리아 이동식 대표 “협력...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [기획특집] 국내 보안시장의 해외 영상보안 ...

• 3

  새롭게 등장한 랜섬웨어, 독특하게 프리BSD...

• 4

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 5

  [한국정보공학기술사 보안을 論하다-7] 데이...

• 1

  언더그라운드 랜섬웨어, 텔레그램에 탈취 정보...

• 2

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 3

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 4

  [한국사이버안보학회 칼럼] 미국의 선제적 방...

• 5

  깃 설정파일 노리는 대형 캠페인 적발돼