보안

"수개월 지났지만 여전히 위험" 미 CISA, 로그4셸 악용한 최근 공격 포착

Lucian Constantin | CSO 2022.08.01
미국 국토안보부 산하의 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)이 VM웨어의 호라이즌과 UAG(Unified Access Gateway)와 같은 서드파티 제품의 로그4셸(Log4Shell) 취약점 공격 사례를 조사한 보고서를 발행했다. CISA은 6월까지 조사한 사건에서 수집한 위협침해지표(indicators of compromise, IOC)를 발표하며, 6개월 이상 된 로그4셸 취약점의 장기적인 위험을 지적했다.
 
ⓒ Getty Images Bank

CISA는 보고서에서 "5월부터 6월까지 CISA는 로그4셸 파워셸 다운로드 의심 사례가 관찰된 조직에 원격으로 사고를 지원했다. 원격 지원을 하는 동안 CISA는 악의적인 사이버 행위자가 패치나 완화 기법을 적용하지 않은 VM웨어 호라이즌 서버의 로그4셸을 악용해 해당 조직을 공격했음을 확인했다"라고 말했다.


남아 있는 로그4셸의 위험

로그4셸 취약점(CVE-2021-44228)은 널리 사용되는 자바 로깅 라이브러리인 로그4j(Log4j)에서 발견된 치명적인 원격 코드 실행 결함이다. 이 취약점은 2021년 11월 말 제로데이 취약점으로 발견됐으며, 12월 6일 배포된 패치로 인해 업계 전반은 완화 대응으로 분주했다. 

당시 보안 전문가들은 로그4j 취약점의 장기적인 영향이 발생할 가능성이 크다고 경고했다. 로그4j를 사용하는 자바 기반의 기업용 애플리케이션과 서드파티 제품이 수백만 가지에 달하기 때문이다. 특히 기업의 보안팀은 여러 소프트웨어 공급업체에서 배포하는 수정 프로그램에 의존하고 있었으므로 기업 네트워크에서 모든 결함 인스턴스를 탐지/추적/패치하는 데까지 많은 시간이 걸렸다.

지난 5월, 자바 컴포넌트의 센트럴 리포지토리(The Central Repository)를 운영/관리하는 소프트웨어 공급망 보안 업체 소나타입(Sonatype)은 2021년 12월 이후 로그4j 다운로드의 38%가 취약한 버전의 라이브러리였으며, 하루 발생하는 다운로드 3건 가운데 1건 비율로 지속했다고 경고했다.

즉, 여전히 많은 개발자가 패치된 버전의 로그4j를 포함하도록 앱 종속성을 업데이트하지 않고 있다는 의미다. 이는 여러 수준으로 발전하는 오프소스 생태계에서 흔히 나타나는 복잡한 종속성 고리의 문제점일 수도 있다. 로그4j가 직접적으로 종속되지 않은 앱이라 하더라도 해당 앱이 의존하는 다른 패키지, 혹은 이 패키지가 의존하는 또 다른 패키지 중 하나가 로그4j를 포함하고 있을 수 있다. 소프트웨어 구성 모니터링 솔루션을 사용하지 않으면 메인 애플리케이션 개발자도 모르고 넘어갈 수 있다.

다만 VM웨어는 2021년 12월부터 호라이즌과 UAG에 대한 수동 해결 방법과 패치 버전을 출시했으므로 CISA에서 보고한 공격은 이런 사례에 해당하지 않는다. 따라서 패치를 적시에 배포하는 것은 영향을 받는 기업의 책임이다.


파워셸 다운로더

CISA가 조사한 공격에서 해커들은 트로이 목마 다운로더 역할을 하는 파워셸 스크립트를 배포하기 위해 로그4셸 취약점을 악용했다. 파워셸을 악성코드 배포 메커니즘으로 사용하는 것은 매우 흔한 방법이다. 파워셸은 시스템 관리 작업을 자동화하기 위해 윈도우에 기본으로 내장된 강력한 스크립팅 언어이자 기술이기 때문이다. 기업 시스템 전반에서 파워셸을 완전히 차단하는 것은 불가능하며, 파워셸 탐지 규칙을 공격적으로 적용하면 오히려 오탐지가 많이 발생할 수 있다.

파워셸 스크립트와 함께 CISA는 공격에 사용된 2가지 XML 파일을 복구했다. 이 파일은 손상된 시스템에서 지속성을 위한 예정된 작업을 설정하는 데 사용됐다. 파이썬으로 쓰여진 실행 가능한 파일도 발견됐는데, 로컬 IP 주소를 스캔해 다른 시스템과 포트를 여는 데 사용됐다. 파워셸 스크립트는 오픈소스 네트워크 스캐너인 앤맵(NMap)으로 배포됐다. 공격자의 목표 중 하나가 네트워크 정찰이자 횡적 이동임을 알 수 있다.

CISA는 공격에 사용된 파일과 아티팩트에 대한 자세한 설명과 함께 기업 보안팀이 자체적인 탐지에 활용할 수 있는 파일 해시 및 기타 세부 사항을 공개했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.