- 아시아 및 동남아시아 전역의 금융 데이터를 노린 베트남발 공격이 확인 - 자격 증명 데이터, 금융 데이터, 소셜 미디어 계정 탈취에 집중
내용
- 한국을 포함한 아시아 사용자들의 금융 데이터를 노린 코랄레이더(CoralRaider) 공격 그룹이 확인 > 자격 증명, 금융 데이터, 소셜 미디어 계정을 탈취하는 데 집중
- 다양한 악성코드를 공격에 사용 > 쿼사 RAT의 맞춤형 변종인 RotBot과 XClient 스틸러 등 > 로그인 자격 증명, 금융 데이터, 소셜 미디어 계정 세부 정보 등 민감한 정보를 수집하도록 설계
- 윈도우 바로 가기 파일(LNK)을 배포하는 것으로 시작 > 공격 대상에게 배포하는 방법은 아직 명확하지 않음 > 파일 실행시 공격자 서버에서 HTML 애플리케이션(HTA) 파일을 다운 및 실행 > HTA 파일은 일련의 파워셸 스크립트를 트리거해 보안 조치를 우회하고 멀웨어 페이로드를 배포 > 탈취 데이터는 다크웹 등에서 판매해 수익화
기타
- 베트남으로 추정되는 이유 > 통신 언어 선호도, 멀웨어 페이로드에 하드코딩된 베트남어 단어, 텔레그램 봇 채널 사용 등 다양한 요인
- 모든 GNU/리눅스 운영체제의 인기 오픈소스 ‘XZ Utils’ 라이브러리에서 백도어가 발견 > 일종의 소프트웨어 공급망 공격으로 볼 수 있음 > 기존 공급망 공격과 달리 운영체제 레벨에서 사용되는 오픈소스 프로젝트 저장소에 접근 -CVSS 점수 10.0 할당 되었으며, 무단 원격 엑세스를 허용하도록 설계된 백도어 설치 - XZ Utils에 대한 점검과 패치 개발이 완료될 때까지 다운그레이드하여 사용 권고
2. 주요내용
2.1 XZ Utils [1]
- 범용 데이터 압축 형식 - GNU/리눅스 운영체제에서 데이터 압축에 필요한 필수 유틸리티를 제공하는 인기 오픈소스
- XZ-Utils의 liblzma 라이브러리에서 백도어 악성코드가 발견 (CVSS: 10.0) > 백도어 동작시 공격자가 SSH 인증없이 서버 로그인 가능 > 일련의 복잡한 난독화 과정을 거쳐 라이브러리에 연결된 모든 소프트웨어에서 사용할 수 있는 수정된 liblzma 라이브러리가 생성 > 수정된 라이브러리를 사용해 XZ Utils 라이브러리와의 데이터 상호 작용을 가로채고 수정
영향받는 버전: XZ Utils 5.6.0 및 5.6.1
- 해당 백도어는 GCC 컴파일러의 GNU 간접 함수(IFUNC) 속성을 활용하여 실행 흐름에 악성코드를 삽입 [3]
> 삽입된 백도어 코드는 실행을 가로채거나 후크
> 페이로드 오브젝트 파일로부터 추출되고, 조작된 "_get_cpuid()"를 호출하는 코드를 삽입하기 위해
> cpuid를 확인하는 "is_arch_extension_supported"를 대체하기 위해 ifunc 호출을 수정
One of the core techniques used by the XZ backdoor to gain initial control during execution is the GNU Indirect Function (ifunc) attribute for the GCC compiler to resolve indirect function calls in runtime. The implanted backdoor code initially intercepts or hooks execution. It modifies ifunc calls to replace a check "is_arch_extension_supported" which should simply invoke "cpuid" to insert a call to "_get_cpuid" which is exported by the payload object file (i.e., liblzma_la-crc64-fast.o) and which calls malformed _get_cpuid() which is implanted into the code shown in the figure below.
[사진 2] 백도어 코드 동작 과정
- 2021년 공격자는 깃허브에 JiaT75(Jia Tan) 계정을 생성 [4] > 여러 프로젝트에 참여하며 평판을 쌓아 XZ 프로젝트 관련자로 참여 > 이후 새로운 관리자 계정 추가, 커밋 병합 등을 거쳐 백도어를 포함한 커밋이 저장소에 추가 > MS는 깃허브 서비스 약관 위반을 이유로 XZ Utils 리포지토리를 비활성화
3. 대응방안
① XZ-Utils 업데이트 금지 또는 5.4.x 버전으로 다운그레이드 [5] - xz --version 명령 결과가 'xz 5.6.1'이나 'liblzma 5.6.1'인 경우 다음 중 두 가지를 수행 1) 사용하고 있는 리눅스 배포판의 업데이트 버전이 여부 확인 및 있을 경우 업데이트를 진행 2) XZ 유틸즈는 다운그레이드 3) SSH 전체를 당분간 비활성화
> 악의적인 행위자는 이미 5.4 버전을 출시하고 서명했기 때문에 더 이전 버전으로의 다운그레이드 주장 의견도 존재
② 취약한 XZ-Utils를 포함하지 않는 리눅스 배포판으로 다운그레이드 또는 업데이트 버전으로 마이그레이션 [6]
[사진 3] 영향 받는 리눅스 배포판 버전
③ 무료 온라인 스캐너 활용 [7]
> 펌웨어 보안 회사 Binarly는 취약점에 영향 받는 리눅스 실행 파일을 탐지하도록 설계된 새로운 온라인 스캐너 공개
> 바이트 문자열 매칭 및 파일 해시 차단 목록과 같은 기존 방법과는 다른 새로운 방식으로 탐지
- 2022년에 발생한 보안 사고의 74%는 인간과 인간 사이 상호작용으로부터 비롯 - 소셜엔지니어링 감사를 불필요한 자원 낭비로 여기며, 모의 해킹만으로도 충분하다고 생각
내용
- IT 보안 기능 감사, 네트워크 경계 검사, 모의 해킹, 취약점 실험 등 > 보통 1년에 한 번 진행하며, 현재 IT 환경의 상태를 입체적으로 볼 수 있게 해줌 > 그러나 인적 요소라는 구멍이 존재
- 케빈 미트닉(Kevin Mitnick) > 무작위 대입 방식 공격에서 속임수를 동원해 사용자들로부터 비밀번호 탈취 > 공격자들은 사람의 심리를 잘 이해해 신뢰 관계 구축
- 피싱 공격 > 일년에 수억 번씩 발생하는, 지겹도록 많이 보는 유형의 위협 > 주변 사람으로 위장해 첨부파일, 링크 등을 포함 및 실행시 멀웨어 유포 > 피싱 외에도 기밀 유출, 개인정보 무단 유출 등 다양한 인적 위험 존재
- 소셜엔지니어링 감사 > 보안 교육이 얼마나 잘 되어 있고 보안 인지 수준이 어느 정도인지 평가하는 것 > 찾아낸 결과를 상세히 문서화 하여 주기적 점검 > 점검 및 확인 작업을 수월하도록 취약한 부분이 발견된 부서들을 목록화 > 해당 목록들이 블랙리스트로 보여지지 않도록 주의
- 소셜엔지니어링 감사시 참고 사항 > 모든 부서가 협조, 참여해야 하며 결과에 대한 책임을 배분 > 1년에 한 번 또는 분기별 한 번이 아닌 수시로 진행 > 당사자와 회사가 같이 문제를 해결하는 방향으로 나아가야함 > 사용자들의 불편을 최소화 하는 방향으로 해결책 마련
- 인프라를 운영하며 관련 법률에서 제정한 다양한 규정 준수 및 보안 인증 등을 위해 다양한 솔루션이 사용
- 솔루션 증가는 공격자 입장에서 더 많은 선택권이 주어지는 것이므로, 현재 사용되는 솔루션의 위험성을 인식할 필요
- 금보원은 공격자의 관점에서 모의해킹을 진행해 공급망 공격을 분석한 ‘레드아이리스 인사이트 리포트 : Campaign ThirdEye’를 발간 [1]
※ 내용의 민감성을 고려하여 요약본 게시
2. 주요 내용
2.1 3rd Party 솔루션 유형 분류
구분
설명
형태별 분류
- 단일 소프트웨어 형태 - 하드웨어와 소프트웨어가 포함된 어플라이언스 장비 형태
기능별 분류
- 업무용 솔루션: 그룹웨어 / 웹 메일 / 메신저 / 문서 편집 / 업무포탈 등 - 보안 솔루션: 통합인증 / 망분리 및 망연계 / 계정관리 / 서버접근통제 등
2.2 3rd Party 취약점 분석
구분
설명
파일 업로드 취약점
- 파일업로드 기능을 이용해 악의적인 웹쉘 파일을 업로드하는 취약점 > 웹쉘 업로드 성공시 구동하는 웹 서비스 권한으로 쉘 획득 및 후속 공격이 가능 > 게시판 모듈의 취약점을 악용한 사례가 가장 많이 발견(개발사 폐업, 지원 종료, 업데이트 미적용 등)
- 세부 사례 ① 업로드 확장자 검증 미흡 > 대부분 최신 버전 에디터는 기본적으로 JSP 등 악의적인 파일 업로드를 방지하기 위해 확장자 제한 > 일부 구버전 게시판 에디터의 경우 별도 검증 없이 파일 첨부 기능을 제공
② 관리자 페이지를 통한 파일 업로드 > 관리용 기능에서는 별도의 보안 검증을 수행하지 않는 경우가 많음 > 실질적으로 관리자 페이지 및 URL이 노출되지 않더라도 추측 및 무작위 대입을 통해 URL 식별 가능 > 원활한 관리를 위해 원격 접근을 허용하는 경우 또한 존재
2.3 써드아이(ThirdEye) 캠페인
- 3rd Party 솔루션 모의해킹 시나리오를 심층 분석해 가상의 해킹작전 (오퍼레이션)으로 재구성
> 이와 연관된 모든 활동을 써드아이(ThirdEye) 캠페인으로 명명
> 공격자 관점으로 시나리오별 세부적인 TTPs를 공유해 효율적으로 선제적 대응을 할 수 있도록 지원하는 것이 목표
[사진 1] 써드아이(ThirdEye) 캠페인
- 오퍼레이션별 TTPs 프로파일링
구분
설명
초기 침투
- 초기 침투시 공통적으로 파일 업로드 활용 - 각각 테스트 페이지, 에디터, 파일 전송 모듈을 찾아 악용
지속성 유지
- 재접속을 위해 웹쉘, SSH 많이 이용 - 비밀번호 변경 없이 SSH 키를 등록하거나, 관리자 계정을 생성하는 방법을 주로 사용
인증정보
- WAS 설정 파일을 복호화하여 DB 접속 정보, 관리자 계정 정보 등 탈취
접근 네트워크 확장
- 정상 프로토콜을 악용해 터널링 생성 - 주로 HTTP와 SSH 터널링을 활용 - 터널링을 맺게 되면 연결된 포트를 통해 패킷이 경유지를 거쳐 방화벽을 우회하여 직접 접근하지 못하던 네트워크에 접근이 가능 (=네트워크 피보팅)
측면 이동
- 더 많은 서버와 PC의 권한을 획득하는 것이 목적 - 정상 인증정보 확보 또는 솔루션 취약점 악용
2.3 대응방안
구분
설명
파일 업로드 취약점 원인 제거 및 관리
- 여러 곳에 구현된 업로드 기능을 우선적 파악 - 일반적인 기능 외에도 다양한 업로드 기능이 존재할수 있음 - 예시: 업로드 허용 확장자, 타입, 용량 제한 / 업로드 경로 실행권한 제거 / 업로드 경로 분리 등
서버 내 인증정보 관리
- 비밀번호 하드코딩 금지 - 필요시 암호화 적용 및 엄격한 파일 권한 설정
비밀번호 설정 및 점검 강화
- 유추하기 쉬운 키워드가 포함되지 않도록 설정 - 비밀번호 설정 정책, 가이드, 교육 외에도 실제 점검을 수반
솔루션 점검 및 계정 모니터
- 솔루션은 다수의 PC 및 서버와 연동되어 있으며, 높은 권한을 지님 - 솔루션 자체에 대해서도 계정, 포트, 정책 등 다양한 점검이 필요
[사진 2] 핵심 조치 필요 사항
3. 결론
- 솔루션 도입을 통해 효율적으로 관리를 시도하나, 관리 인원이 추가되지 않고 관리 요소만 증가하는 경향
- 공격자들은 이미 수년전부터 공급자인 제조사를 해킹해 소스코드 탈취해 취약점 확보 후 공격에 악용
- 패치 되지 않았거나, 계정 관리가 되지 않거나, 중앙 집중 관리 솔루션 등에 대해 접근통제 및 모니터링 필요
