[News Clipping] 2021. 05. 3주차

Main News - MS 익스체인지에서 제로데이 발표되자 5분 만에 스캔 시작한 해커들

MS 익스체인지에서 제로데이 발표되자 5분 만에 스캔 시작한 해커들

최근 벌어졌던 MS 익스체인지 서버 사태에 대한 새로운 사실이 보안 행사 RSAC에서 발표됨

MS가 3월 초 제로데이에 대해 발표 후 5분도 안되어 해커들의 스캔이 대량으로 진행

 

공격자들은 취약점이나 익스플로잇이 발표되면, 수분 안에 취약점을 찾아나서기 시작

-> 발표와 실제 스캔 행위 사이의 시간이 계속해서 줄어듦, 이젠 5분 안쪽

 

시간이 줄어든 요인

- 가격

-> 클라우딩 기반 컴퓨팅 파워를 저렴하게 사용할 수 있음

-> 대략적인 스캔을 실시하는데 필요한 돈은 10달러 정도

-> 스캐닝이 저렴, 쉬워지니 실제로 특정 취약점을 스캔하는 행위가 계속 증가

 

- 방어자들의 느린 대응

-> 글로벌 기업들의 취약점 탐지 시간은 평균 12시간,

    익스체인지 서버의 취약점을 제일 빨리 패치한 조직은 발표 시점으로부터 며칠

-> 일반 수준에서 패치를 완료하는데 걸린 시간은 수주

-> 공격자들의 5분과 상당히 대조적

-> 대응이 늦는 근본적 이유 : 기업 내 모든 자산들에 대한 목록 정리 혹은 재고 정리가 되지 않는 것.

 

새로운 취약점에 대한 공격자들의 반응 시간도 빨라지는데, 오래된 취약점들에 대한 스캔과 익스플로잇도 꾸준히 진행되고 있다는 것 역시 문제

일부 취약점들은 아무리 오래돼도 방어 조직들이 제대로 패치하지 않을 거라는 걸 공격자들이 알고 있음

>>> 취약점 점검 혹은 장비 재고 목록을 완성할 때부터 오래된 시스템과 취약점들도 전부 점검해야 함

 

코로나로 인해 원격 근무자가 많아진 지금 시점에서 조직들이 특별히 주의해야 할 것은 RDP

-> 현재 공격자 다수가 3389번 포트를 열심히 스캔중, 이러한 스캐닝 행위 뒤에는 무작위 대입 공격, 크리덴셜 해킹 공격이 이어지는 게 보통

->많은 조직들이 RDP를 인터넷에 연결시키지 않는다는 걸 정책으로 내걸고 있지만, 실제로 그렇지 않다는 것을 공격자들은 잘 알고 있음

 

 

News Tracking - MS 익스체인지 서버의 제로데이 4개 악용한 중국의 APT 단체 (21.03.03.)

 

MS 익스체인지 서버에서 제로데이 취약점을 4개 발견해 악용해온 중국 APT 단체가 처음 등장 (하프늄)

4개 취약점을 절묘하게 활용 -> 익스체인지 서버 사용자 기업의 이메일을 염탐해옴

 

하프늄은 CVE-2021-26855를 익스플로잇 하거나 관리자 크리덴셜을 훔쳐 로그인에 성공

웹셸을 사용해 침투한 서버를 원격에서 제어, 원격 제어 권한을 악용해 더 많은 정보 훔침

익스체인지 오프라인 주소록을 다운로드, 이 과정에서 피해 조직 및 피해인에 대해 상세히 파악

 

MS에 의하면 하프늄의 캠페인은 익스체인지 서버의 443번 포트로 들어오는 연결 시도로부터 시작

>>> 443번 포트를 통한 수상한 연결 모두 차단

>>> VPN을 사용해 익스체인지 서버를 분리한 상태에서 외부 연결을 허용하는 방식으로 위험 수위 낮추기

>>> 위는 패치를 적용하는 것만큼 안전한 방어법은 아님

>>> 모방범죄를 당하지 않으려면 MS가 긴급히 발표한 패치를 익스체인지 서버 사용자들이 시급해 적용해야 함

 

---

제로데이취약점에 대하여 대학교 저학년 때 들었는데, 점점 그 속도가 빨라지는 것 같다.

취약점 발표 후 5분이면 정말 빠른 속도인데 발전하는 공격자들에 맞서 방어자들의 발빠른 대응이 필요한 시점이다.