비릿한 공격에서 강력한 공격으로: 바라쿠다 ESG 제로데이 취약점에 대한 업데이트된 시각
최근 게시물에서 "수상한 제로데이 익스플로잇"이라는 제목의 최근 게시물에서 에서 이메일 필터링용으로 설계된 어플라이언스인 바라쿠다 이메일 보안 게이트웨이(ESG)의 문제가 되는 제로데이 익스플로잇 발견에 대해 설명했습니다. CVE-2023-2868.
이제 맨디언트의 심층 조사에서 새롭게 공개된 심층 조사의 심층 조사 결과에서 발표된 세부 정보를 통해 국가가 후원하는 위협 행위자와 연관된 것으로 의심되는 정교한 글로벌 공격을 밝혀낸 이 보안 사고에 대해 더 자세한 정보를 확인할 수 있습니다.
공격 벡터
이 익스플로잇은 2023년 5월 23일에 처음 공개되었으며, 바라쿠다는 모든 ESG 사용자에게 문제를 완화하기 위한 패치를 즉시 배포할 것을 권고했습니다.
이 취약점은 ESG가 TAR 이메일 첨부 파일을 처리하는 데 있으며, 이 취약점은 사용자가 제어하지 않는 입력으로 인해 명령 인젝션 공격을 유발할 수 있습니다. TAR 파일은 Perl 함수를 통해 ESG에 의해 검사되며, 공격자는 제어된 페이로드로 파일 이름을 지정함으로써 ESG의 시스템 권한으로 명령을 실행하여 효과적으로 루트 액세스 권한을 획득할 수 있습니다:
qx{$tarexec -O -xf $tempdir/parts/$part '$f'}
|
여기서 $f는 TAR 아카이브 내의 파일 이름입니다. 보시다시피, 파일 이름은 "qx"로 직접 전달되어 필터링 없이 그대로 실행됩니다. 페이로드가 포함된 파일 이름은 사이버 보안 분야에서 새로운 것이 아니며, 이 파일 이름에 맞는 '한 줄' 명령으로 리버스 셸을 배포하는 것은 비교적 쉽고 흔한 일입니다(실제로 그렇게 했습니다). 악의적인 용도로 사용되기 때문에 직접 예시를 작성하는 것은 자제하겠지만, 일부 구글 푸를 통해 예시를 확인할 수 있습니다.
위협 행위자와 그들의 전술
바라쿠다의 단호한 조치와 정보 공유에 힘입어 맨디언트가 분석한 결과, 최초의 알려진 공격은 대중이 인지하기 약 8개월 전인 2022년 10월 초에 발생했습니다.
현재 UNC4841로 추적되고 있는 이 공격자는 영리한 전략을 사용했습니다. 악성 TAR 파일이 첨부된 이메일을 ESG 기기에 보냈습니다. 이러한 이메일은 의도적으로 스팸으로 보이도록 제작되어 받은 편지함에서 스팸으로 표시되지 않도록 함으로써 사용자와 수년 동안 스팸 이메일에 즉시 주의를 기울이지 않는 관리자의 주의를 모두 피할 수 있었습니다.
악성 이메일이 ESG에 의해 스캔되고 TAR 파일 내부의 코드가 실행되면 인터넷에서 추가 실행 코드를 다운로드하고 리버스 셸을 열어 공격자가 제어하는 시스템으로 연결합니다. 리버스 셸은 사용자가 서버에 연결하는 기존 연결과 달리 서버가 대신 사용자 시스템에 연결하여 연결을 설정하는 연결입니다. 이렇게 하면 ESG가 인터넷에 직접 노출되거나 인터넷에 접속할 필요가 없지만 공격자는 여전히 인터넷에 접속할 수 있습니다.
지속성과 진화
바라쿠다의 패치 릴리스에도 불구하고 공격자는 패치가 적용된 시스템에서도 수정 사항을 피하고 액세스를 유지하기 위해 페이로드 및 지속성 전략을 변경하여 놀라운 적응력을 보여주었습니다. 패치가 배포된 후 2일 이내에 수정된 페이로드 코드가 확인되었습니다.
이 경우 안타깝게도 공격자는 대부분의 ESG 관리자가 패치를 배포하는 것보다 더 빠르게 대응했습니다.
정교하고 다양한 페이로드
공격자의 수법은 ESG의 기능을 은밀하게 확장하기 위해 완전한 기능을 갖춘 플러그인을 만드는 등 상당히 발전했습니다. 세 가지 백도어 페이로드가 확인되었는데, 각각 고유한 백도어 액세스를 제공하는 SEASPY, SALTWATER, SEASIDE입니다.
또한 다른 모듈의 프로세스를 숨겨서 지속성을 유지하기 위해 샌드바(SANDBAR)라는 루트킷이 사용되었습니다. 이 루트킷은 공격에 관련된 다른 모듈이 생성한 프로세스를 "ps", "top" 등과 같은 프로세스 모니터링 도구에서 제거합니다. 또한 이러한 프로세스가 "/proc" 아래에 나타나지 않도록 하는 방식으로 작동했습니다.
은밀한 커뮤니케이션 및 지속성
공격자는 바라쿠다의 자체 서명된 인증서를 교묘하게 재사용하여 통신을 암호화하고 시스템에 더욱 잘 녹아들었습니다. ESG는 배포 프로세스의 일부로 처음에 자체 서명된 인증서를 사용하며, 이 인증서는 배포된 시스템에 남아 있습니다. 공격자는 이러한 인증서를 복사하여 통신에 사용하므로 정상적인 트래픽으로 보입니다.
시스템에서 지속성을 유지하기 위해 여러 경로가 사용되었는데, 여기에는 여러 스크립트가 첨부된 크론 작업 활용, 재시작 시 SEASPY를 시작하도록 /etc/init.d/rc 수정, 자동 로딩 커널 모듈로 샌드바를 배포하는 방법 등이 포함됩니다. 각 방법에는 다른 모듈 중 하나라도 누락된 경우 지속성을 재설정하는 방법이 있었습니다.
특정 타겟 및 어트리뷰션
공격자는 대만, 홍콩, 동남아시아 등의 지역을 중심으로 전 세계의 학계, 정부 및 무역 관계자를 표적으로 삼았습니다. 여러 개의 특정 이메일 주소가 스크립트에 하드코딩되어 있는 것이 발견되었으며, 이는 발견될 때마다 흥미로운 유출 대상으로 간주되었습니다. 이는 특별히 표적으로 지정되지 않은 채 공격에 노출된 다른 모든 표적에 추가되었습니다.
대상 목록은 다른 국가와 고위급 외교 행사에 참여한 국가의 공무원, 그러한 행사로 이어지는 기간, 행사 중 및 그 여파에 있는 대상자를 수용하기 위해 변경됩니다.
표적이 된 조직의 패턴, 이전에 알려진 공격자들과 공유된 IP 인프라를 명령 및 제어에 활용했다는 점, 정치적 동기를 고려할 때 이 캠페인은 중국의 국가적 후원을 받는 행위로 추정됩니다. 이러한 유형의 배후를 100% 확실하게 파악하는 것은 결코 쉬운 일이 아니지만, 이러한 결론을 내릴 수 있는 특징이 압도적으로 많은 것 같습니다.
향후 권장 사항
이 공격의 심각성과 정교함에 대응하기 위해 바라쿠다는 현재 ESG 어플라이언스의 패치 수준에 관계없이 패치를 적용하는 대신 ESG를 격리하고 교체할 것을 권장합니다.
네트워크 활동에서 Barracuda 인증서가 일치하는지 검사해야 합니다.
일부 ESG 어플라이언스에서 정찰 및 스캔이 수행되어 ESG가 볼 수 있는 다른 내부 시스템을 대상으로 수행되었음을 시사하는 몇 가지 증거가 있기 때문에 ESG 및 인프라의 다른 시스템 모두에서 C&C IP, 의심스러운 시스템 활동 및 기타 명백한 침해 징후를 식별하는 데 도움이 되는 100개 이상의 다양한 IOC가 게시되었습니다.
이메일 로그를 검토하여 초기 침해를 식별해야 합니다. 물론 바라쿠다의 권고에 따라 ESG 자체가 작동하지 않는 경우 이 작업이 까다로울 수 있지만, 중앙 집중식 로깅 시스템의 목적은 바로 이 때문입니다.
항상 그렇듯이, 시스템이 인터넷에 직접 노출되어 있지 않더라도 가능한 한 빨리 패치를 적용하는 것이 보안을 위한 가장 기본적이고 최선의 첫걸음입니다.
위협이 진화함에 따라 공개와 해결 사이의 허용 가능한 시간도 줄어들고 있습니다.
[공개: 작성자는 이 글의 일부 표현을 돕기 위해 ChatGPT를 사용했음을 인정합니다.]