Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향해커, ProxyShell 익스플로잇을 사용하여 Microsoft Exchange를 백도어
작성일 2021-08-13 조회 2772

 

 

위협 행위자는 나중에 액세스할 수 있도록 백도어를 설치하기 위해 ProxyShell 취약점을 사용하여 Microsoft Exchange 서버를 적극적으로 악용하고 있다.


ProxyShell은 3개의 연결된 Microsoft Exchange 취약점을 사용하여 인증되지 않은 원격 코드 실행을 수행하는 공격의 이름이다.


아래 열거된 세 가지 취약점은 Devcore 수석 보안 연구원인 Orange Tsai 가 발견했으며 4월에 열린 Pwn2Own 2021 해킹 대회에서 Microsoft Exchange 서버를 인수하기 위해 이들을 함께 연결했다.


- CVE-2021-34473 - 사전 인증 경로 혼동으로 인해 ACL 우회 발생 (4월에 KB5001779에 의해 패치 됨)
- CVE-2021-34523 - Exchange PowerShell 백엔드에 대한 권한 상승 (4월에 KB5001779에 의해 패치 됨)
- CVE-2021-31207 - 사전 인증 임의 파일 작성이 RCE 유도 (KB5003435에 의해 5월에 패치 됨)


지난 주 Orange Tsai는 Microsoft Exchange CAS(클라이언트 액세스 서비스) 공격 표면을 대상으로 할 때 발견한 최근 마이크로소프트 Exchange 취약성에 대해 Black Hat에서 강연했다.


Tsai는 ProxyShell 공격이 Microsoft Exchange의 AutoDiscover 기능을 사용하여 대화의 일부로 SSRF 공격을 수행한다고 밝혔다.


이 강연을 본 후, 보안 연구원인 PeterJson과 Nguyen Jang은 ProxyShell 익스플로잇의 성공적 재현에 대한 보다 상세한 기술 정보를 발표했다.


곧이어 보안 연구원 Kevin Beaumont는 위협 행위자들이 ProxyShell에 취약한 Microsoft Exchange 서버를 스캔하는 것을 보기 시작했다.


오늘 Beaumont와 NCC Group의 취약점 연구원인 Rich Warren은 위협 행위자들이 ProxyShell 취약점을 이용하여 Microsoft Exchange 허니팟을 악용했다고 밝혔다.

 

 

 

[그림 1. ProxyShell 취약점 악용 관련 트윗]

 


공격자는 Microsoft Exchange를 악용할 때 다음과 같은 초기 URL을 사용하고 있다.


https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com
참고: URL에 나열된 이메일 주소는 존재하지 않으며 공격자 간에 변경될 필요가 없습니다.


익스플로잇은 현재 265KB 크기의 웹쉘을 'c:inetpubwwrootaspnet_client' 폴더에 떨어뜨리고 있다.


지난주 Jang은 265KB가 PST 파일을 생성하기 위해 Exchange Powershell의 Mailbox Export 기능을 남용하기 때문에 ProxyShell 익스플로잇을 사용하여 생성할 수 있는 최소 파일 크기라고 설명했다.


Warren이 공유한 샘플에서 웹쉘은 위협 행위자가 손상된 Microsoft Exchange 서버에 파일을 업로드하는 데 사용할 수 있는 간단한 인증 보호 스크립트로 구성된다.


Warren은 위협 행위자가 첫 번째 웹쉘을 사용하여 원격으로 액세스할 수 있는 폴더에 추가 웹쉘을 업로드하고 아래 나열된 C:WindowsSystem32 폴더에 두 개의 실행 파일을 업로드한다고 말했다.


C:WindowsSystem32createhidetask.exe
C:WindowsSystem32ApplicationUpdate.exe


두 개의 실행 파일을 찾을 수 없는 경우 다음 폴더에 임의의 이름인 ASPX 파일로 다른 웹 쉘이 생성된다.


C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyowaauth


공격자는 두 번째 웹쉘을 사용하여 매일 오전 1시에 'ApplicationUpdate.exe' 실행 파일을 실행하는 'PowerManager'라는 예약된 작업을 생성하는 'createhidetask.exe'를 실행한다.


Warren은 ApplicationUpdate.exe 실행 파일이 백도어로 사용되는 사용자 지정 .NET 로더라고 말했다.


Warren은 "ApplicationUpdate.exe는 (현재 무해한 페이로드를 제공하고 있는)원격 서버에서 다른 .NET 바이너리를 가져오는 .NET 로더이다"라고 설명했다.


현재 페이로드는 무해하지만 서버가 충분히 손상되면 악성 페이로드로 교체될 것으로 예상된다.


사이버 보안 정보업체 Bad Packets는 현재 위협 행위자가 미국, 이란 및 네덜란드의 IP 주소에서 취약한 ProxyShell 장치를 스캔하는 것을 보고 있다고 말했다.


알려진 주소는 다음과 같다.


3.15.221.32
194.147.142.0/24


BadPackets는 또한 아래와 같이 스캔에 사용된 이메일 도메인이 @abc.com 및 @1337.com에서 왔다고 말했다.

 

 


[그림 2. ProxyShell 검색을 감지하는 잘못된 패킷]

 


이제 위협 행위자들이 취약한 Microsoft Exchange 서버를 적극적으로 악용하고 있으므로 Beaumont는 관리자에게 Azure Sentinel 쿼리를 수행하여 장치가 검색되었는지 확인할 것을 조언한다.


W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "PowerShell" | where csMethod == "POST"


최근에 Microsoft Exchange 서버를 업데이트하지 않은 경우 즉시 업데이트하는 것이 권장된다.


이전의 ProxyLogon 공격이 노출된 서버의 랜섬웨어, 악성 프로그램, 데이터 도난 등으로 이어졌기 때문에 ProxyShell을 이용한 유사한 공격이 발생할 가능성이 높다.

 

 


출처
https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/

첨부파일 첨부파일이 없습니다.
태그 ProxyShell  Microsoft Exchange