본문 바로가기
  • Trace
3. 위협인텔리전스 및 APT/사고 정리 (APT 사고 시나리오 등)

[사고정리] MS Exchange Server

by seleuchel 2022. 5. 20.

[참조]

* KrCERT/CC 2021 MS Exchange Server 취약점 악용 보고서

내용 요약함

 

[그림 참조]

* https://www.freesoftwarefiles.com/productivity/microsoft-exchange-server-2019-free-download/

 

 

평소 취약점 패치가 잘 이루어지지 않았으면, 사고 신고라도 빨리 하기

MS Exchange Server : 

전자 메일, 연략처, 일정 등의 기능을 제공하는 협업 소프트웨어

https://en.wikipedia.org/wiki/Microsoft_Exchange_Server

 

이렇게 생겼다.

 

 

최초 공격으로 공격자가 메일서버의 접근권한까지 획득 가능하므로 매우 취약함

 

사용된 취약점 : 

* CVE-2021-26855 : 메일서버의 취약점으로 권한 상승

ㄴ (SSRF : 서버에 위조 HTTP REQ) https://github.com/hackerschoice/CVE-2021-26855

ㄴ 9.8 CVSS https://nvd.nist.gov/vuln/detail/CVE-2021-26855

 

* CVE-2021-26858, CVE-2021-27065 : 파일 쓰기 및 생성 및 수정 취약점 => 웹쉘 생성 

ㄴ 7.8 CVSS https://nvd.nist.gov/vuln/detail/CVE-2021-26858

ㄴ 7.8 CVSS https://nvd.nist.gov/vuln/detail/CVE-2021-27065

 

 

* CVE-2021-26857 : 역직렬화 취약점 => 관리자 권한 생성

(역직렬화 : 직렬화[객체를 전송 가능한 형태로 변형]된 수신 데이터를 다시 객체로 변형하는 과정)

ㄴ 7.8 CVSS https://nvd.nist.gov/vuln/detail/CVE-2021-26857

 

 

공격 단계 : 

1) 취약점 스캐너, 온라인 스캔 정보 사이트, 직접 무작위 포트 스캔으로 취약한 메일 서버 물색 (443 포트)

ㄴ shodan, nmap, 

2) 메일서버 공격 (PoC)으로 메일서버 접근 권한 획득

3) 특정 경로에 웹쉘 쓰기 (Exchange Admin Center - Virtual directories OAB- External URL) 이후 추가 웹쉘 업로드

ㄴ OAB 설정에서 EXTERNAL URL 변경하면 설정 파일(.XML)에 웹쉘 기능이 포함됨 

ㄴ 이 경우에 사용자가 PC 에서 OUTLOOK 실행 시, 메일 서버와의 동기화로 .XML 파일 다운 (XML는 원래 주소록 담김)

4) 역직렬화 취약점으로 관리자 권한 획득

5) 웹쉘로 지속 공격/접근

 

이후 동작으로 배치파일이나 파워쉘 스크립트로 공격 수행

 

 

영향 :

- IIS 계정 정보 유출

 

 

주요한 2가지 공격 단계

1) 웹쉘을 써서 지속 공격 수행

2) 역직렬화로 관리자 권한 취득

 

 

대응 방법

* 불필요한 네트워크 서비스 종료/삭제

* 운영체제 및 사용중인 주요 SW의 보안 업데이트 적용

* 방화벽 설정 등으로 외부 스캐닝 차단

* 알려진 공격 도구들에 대한 시그니처를 IPS에 등록 (차단/ALERT)

* 침해지표를 보안 서비스에 등록하여 사용함

* 최근 수정된 .aspx 파일 <script>가 있는 파일이 Exchange, IIS 디렉토리에 존재하는가

* Exchange, IIS 디렉토리  검사

* 휘슬 설치

* 직원 PC 백신 설치 

* 직원 PC OAB 주소록 삭제 (\AppData\Microsoft\Outlook\Offline Address Books

* 윈도우 파워쉘 이벤트 로그에서 base64 인코딩 코드 확인

* C:\Windows\temp\creds.db 파일 존재 유무 확인

* 중요 시스템은 2차 인증을 적용하여 접속

* 중요 소스코드 및 db 자료는 원격 서버 백업

* 중요 데이터는 기업 운영 환경에 따라 오프라인 백업

 

 

 

침해지표

* (웹로그) /ecp/[랜덤문자열].js 요청

* (웹로그) 241 응답

* (이벤트로그) Set-OabVirtualDirectory 사용 

* Admin 권한으로 OabVirtualDirectory가 생성/제거 되었는지 Exchange 서버의 audit 로그에서 확인

 

 

기타 잘 모르는용어

* OAB (Offline Address Book) : 

오프라인 주소록. MS Exchange 서버가 제공하는 서비스. Outlook이 Exchange 서버와 통신 시에 다운받는 주소록으로 오프라인에서 해당 자료 참조

 

* China Chopper : 

한줄 웹셸이 삽입된 설정 파일을 칭하는 용어

 

* ECP 로그 : 

Exchange 제어판의 로그 ??

 

* Set-OabVirtualDirectory : 

 

* 휘슬 : 

 

* 웹로그 UTC+0

 

* 윈도우 로그 47 : 

 

* 윈도우 로그 4007 : 

 

* 파일리스 멀웨어의 장점 : 

- 지속적으로 악성코드 숨기기

- 공격자의 공격 목적에 따라 악성코드를 업데이트하거나 추가 악성코드를 송부 

 

 

 

 

 

 

저작자표시

'3. 위협인텔리전스 및 APT > 사고 정리 (APT 사고 시나리오 등)' 카테고리의 다른 글

공격도구  (0) 2022.10.02
(21.5.30) 미 JBS 랜섬웨어(작성중)  (0) 2022.08.16
콜로니얼 파이프라인 (작성중)  (0) 2022.08.16
[사고정리] log4j - 얘도 자바 직렬화 JNDI (정리중)  (0) 2022.06.09
[사고정리] Stuxnet (작성중)  (0) 2022.05.24

관련글

티스토리툴바