Wins Security Information

취약점 정보

앞 내용 보기 다음 내용 보기
보안 동향해커가 전 세계 Log4Shell 공격에서 악성 프로그램 푸시
작성일 2021-12-13 조회 2611

 

 

위협 행위자와 연구진은 Log4j Log4Shell 취약점을 검색하고 이용하여 악성코드를 배포하거나 취약한 서버를 찾고 있으며, 이 기사에서는 Log4j 취약성을 사용하여 알려진 페이로드, 검색 및 공격을 정리했다.


금요일 아침 일찍 Apache Log4j Java 기반 로깅 플랫폼에서 'Log4Shell'이라는 치명적인 제로데이 취약점에 대한 공격이 공개되어, 이 취약점을 통해 공격자는 브라우저의 사용자 에이전트를 검색하거나 특수 문자열로 변경하는 것만으로 취약한 서버에서 원격으로 명령을 실행할 수 있다.


곧이어 Apache는 취약점을 해결하기 위해 Log4j 2.15.0을 출시했지만, 위협 행위자들은 이미 취약한 서버를 검색하고 악용하여 데이터를 빼내거나 악성코드를 설치하거나 서버를 인수하기 시작했다.


이 소프트웨어는 수천 개의 기업용 애플리케이션과 웹사이트에서 사용되기 때문에 광범위한 공격과 악성 프로그램 배포로 이어질 것이라는 우려가 크다.


아래에는 현재 Log4j 취약성을 이용하고 있는 알려진 공격에 대해 요약되어 있다.


쉽게 악용될 수 있는 원격 코드 실행 취약점이 공개되면 일반적으로 악성 프로그램 배포자가 이를 가장 먼저 활용하기 시작한다.


아래에서는 BleepingComputer 웹 서버 액세스 로그, GreyNoise 데이터 및 연구원 보고서에서 Log4j를 악용하는 알려진 악성코드 페이로드를 정리했다.


취약점이 공개되자마자 아래와 같이 위협 행위자들이 Log4Shell 취약점을 이용하여 다양한 크립토마이너를 다운로드하여 설치하는 셸 스크립트를 실행하는 것을 보았다.


Kinsing 백도어 및 크립토마이닝 봇넷 배후의 위협 행위자는 취약한 서버가 셸 스크립트를 다운로드하고 실행하는 Base64 인코딩된 페이로드로 Log4j 취약점을 심하게 악용하고 있다.

 

 

 

[그림 1. Kinsing Log4Shell 공격 및 디코딩 명령]

 

 

이 셸 스크립트는 취약한 장치에서 경쟁 악성코드를 제거한 뒤 Kinsing 악성코드를 다운로드해 설치하게 되며, 이는 가상화폐 채굴에 들어간다.

 

 

 

[그림 2. Kinsing 설치 프로그램 스크립트]

 

 

채굴기를 설치하는 것으로 보이는 다른 Log4Shell 취약점은 아래 이미지에서 볼 수 있다.

 

 

 

[그림 3. 기타 악성 암호화 프로그램 설치 프로그램]

 

 

Netlab 360은 위협 행위자들이 취약점을 이용하여 취약한 장치에 Mirai 및 Muhstik 악성코드를 설치한다고 보고했다.


이러한 악성코드 제품군은 IoT 장치와 서버를 봇넷에 추가하고 이를 사용하여 크립토마이너를 배포하고 대규모 DDoS 공격을 수행한다.


"오늘 아침 첫 번째 해답을 얻었는데, 우리 Anglerfish 및 Apacket 허니팟은 Log4j 취약점을 사용하여 봇넷을 형성하는 2회의 공격을 포착했으며 빠른 샘플 분석에 따르면 둘 다 Linux 장치를 대상으로 하는 Muhstik 및 Mirai 봇넷을 형성하는 데 사용되었다"고 Netlab 360 연구원은 설명했다.


Log4Shell 공격을 사용하여 악성코드를 설치하는 것 외에도 위협 행위자와 보안 연구진은 취약점을 사용하여 취약한 서버를 검색하고 정보를 추출한다.


아래에서 볼 수 있듯이 연구진은 취약한 서버가 URL에 접근하거나 콜백 도메인에 대한 DNS 요청을 수행하도록 이 취약점을 사용하고, 이를 통해 연구자나 위협 행위자는 서버가 취약한지 판단하여 향후 공격, 연구 또는 버그 포상금을 청구하려는 시도에 서버를 사용할 수 있다.


일부 연구진은 호스트 이름, Log4j 서비스가 실행 중인 사용자 이름, 운영 체제 이름, OS 버전 번호를 포함하여 서버 데이터가 포함된 환경 변수를 허가 없이 추출하기 위해 취약점을 사용하여 한 발짝 더 나아가고 있을 수 있다.

 

 

 

[그림 4. 취약한 서버를 검색하는 연구원 및 위협 행위자]

 


스캐닝 또는 데이터 유출 캠페인의 일부로 사용되는 가장 일반적인 도메인 또는 IP 주소는 다음과 같다.


interactsh.com
burpcollaborator.net
dnslog.cn
bin${upper:a}ryedge.io
leakix.net
bingsearchlib.com
205.185.115.217:47324
bingsearchlib.com:39356
canarytokens.com


특히 흥미로운 것은 Log4j 공격에 대한 콜백으로 많이 사용되는 bingsearchlib.com 도메인인데,  보안 연구진은 도메인이 공격 콜백으로 사용되는 동안 bingsearchlib.com이 등록되지 않았다고 말했다.


보안 연구진은 위협 행위자들이 도메인을 악용하지 못하도록 도메인을 등록했지만 요청을 기록하지는 않고 있다고 말했다.


위협 인텔리전스 회사인 GreyNoise는 bingsearchlib.com 콜백을 사용하는 IP 주소도 일반적으로 205.185.115.217:47324의 Log4Shell 콜백도 사용한다는 것을 보여준다.


알려지지 않은 공격에 대해 Bpsc4fuel.com이라는 도메인에서 BleefingComputer의 웹사이트를 악용하려는 반복적인 요청을 확인했다.


이 도메인은 석유 서비스 회사에 속한 합법적인 psc4fuel.com 도메인을 사칭하고 있는 것으로 보인다.


psc4fuel.com 도메인은 공격이 실행될 Java 클래스를 푸시하는 데 사용지만 Log4j 취약점을 악용하는 연구자 또는 위협 행위자인지 확인하기 위해 이러한 클래스의 샘플을 검색할 수 없었다.

 

 

 

[그림 5. Log4j 공격에 사용되는 psc4fuel.com 도메인]

 

 

랜섬웨어 그룹이나 다른 위협 행위자들이 Log4j 공격을 활용한다는 사실을 보여주는 연구는 없지만, 그들이 이미 Log4j를 공격에서 이용하고 있지 않다면 놀랄 것이다.


이 때문에 이 취약점을 최대한 빨리 해결하려면 모든 사용자가 최신 버전의 Log4j 또는 영향을 받는 응용 프로그램을 설치해야 한다.

 

 


출처
https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/

첨부파일 첨부파일이 없습니다.
태그 Log4j  Log4Shell  Kinsing