국내 MS Exchange Server 취약점 공격 정황 포착 (2)

ASEC 분석팀은 지난 3월 12일, MS Exchange Server 취약점을 통해 악성 파일이 국내에 유포 중임을 공유하였다. 당시 국내에서는 웹쉘(WebShell) 유형의 파일들만 확인이 되었는데, 최근에는 웹쉘을 통해 생성되는 2차 악성 DLL 파일까지 확인되고 있다. 아직까지 해당 취약점에 대한 조치가 이루어지지 않은 곳이 많은 것으로 확인되어 빠른 보안 패치와 대응이 필요한 상황이다.

MS Exchange Server 취약점에 의해 생성되는 악성 DLL 파일의 경로는 아래와 같으며, 자사에서는 다수의 국내 메일 서버가 해당 취약점 공격을 통해 감염된 상태인 것을 확인하였다.

  • 악성 DLL 생성 경로
    – Microsoft.NET\Framework64\*\Temporary ASP.NET Files\*\*\*\App_Web_[a-z0-9]{8}.dll
  • 탐지 경로
    – C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_zii0gy3k.dll
    – C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\owa\8e05b027\e164d61b\App_Web_cnykol2k.dll
    – C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_pqjeiwuv.dll
    – C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_vmt1xvgk.dll
    – \\?\GlobalRoot\Device\000007cf\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\e22c2559\92c7e946\App_Web_tw1efu0y.dll

해당 DLL 파일이 생성되는 과정은 간단하게 다음과 같다. 웹 사이트 프로젝트 (WSPs) 의 경우 ASP.NET 페이지 (.aspx) 가 만들어지거나 마지막으로 업데이트된 후 처음으로 ASP.NET 페이지에 대한 요청이 웹 서버에 도착하면 페이지 코드를 어셈블리로 컴파일해야 하며, 해당 과정은 자동으로 이뤄진다. 컴파일된 어셈블리는 “%WINDIR%\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files” 폴더에 저장되며 파일명은 App_Web_Filetype 형식을 사용한다.

위 과정을 통해 DLL 파일이 생성되는데, 이때 이전에 공유한 WebShell 이 삽입된 악성 aspx 페이지가 컴파일될 경우, 해당 경로에 악성 dll 이 생성된다. 정상 어셈블리와 악성 어셈블리의 차이는 아래와 같다.

[그림 1] 과 같이 ExternalUrl 에 악성 Webshell 이 삽입된 aspx 페이지가 컴파일되면, DLL 내부에 WebShell 코드가 함께 추가된다. [그림 2] 는 악성 aspx 페이지가 컴파일된 파일의 내부 코드이다. 악성 DLL 파일 확인시, [그림 2] 와 같이 Page_Load() 함수가 생성된 것을 확인할 수 있으며 내부에 WebShell 코드를 포함하고 있다.

[그림 1] 악성 aspx 파일
[그림 2] 악성 aspx 페이지가 컴파일된 형태 (1)

또한 __BuildControlTree() 함수 내 OAB 관련 문자열이 존재하는 것을 [그림 3] 에서 확인할 수 있으며, chopper WebShell 특징인 http://f/ 문자열이 ExternalUrl 부분에 존재하는 것을 확인할 수 있다. [그림 4] 는 정상 페이지가 컴파일된 파일의 __BuildControlTree() 함수 부분이다. 악성 파일과 달리 정상적인 문자열만 확인되며, Page_Load 함수 또한 존재하지 않는다.

[그림 3] 악성 aspx 페이지가 컴파일된 형태 (2)
[그림 4] 정상 페이지가 컴파일된 형태

최근 MS Exchange 취약점 공격에 의해 감염된 것으로 추정되는 국내 PC 가 다수 확인되고 있다. 사용자는 시스템이 감염된 것을 알아차리기 힘들기 때문에 관련 시스템 점검이 필요하다. MS 에서는 미패치 서버에 대한 조치 스크립트를 아래와 같이 제공하였다.

<Exchange Server 미패치 서버 조치용 스크립트>
– ExchangeMitigations.ps1
> 4 개의 CVE (CVE-2021-26855, CVE-2021-26857, CVE-2021-27065 및 CVE-2021-26858) 모두를 완화합니다.
> 일부 완화 방법은 Exchange 기능에 영향을줍니다.

(질문) Exchange 서버에서 외부 인터넷 연결이 없으면 어떻게합니까?
(답변) 외부 인터넷 연결이없는 경우에도 레거시 스크립트 (ExchangeMitigations.ps1) 및 완화 블로그 게시물의 다른 단계를 계속 사용할 수 있습니다. Microsoft Exchange Server 취약점 완화 – 2021 년 3 월

(질문) 이전에 완화를 이미 실행 한 경우 Exchange 온-프레미스 완화 도구가 완화를 롤백합니까?
(답변) 아니요, 롤백을 수행하려면 레거시 스크립트 (ExchangeMitigations.ps1)를 사용하십시오. 레거시 스크립트는 Exchange 온-프레미스 완화 도구가 적용된 완화에 대한 롤백을 지원합니다.

<관련설명>
https://github.com/microsoft/CSS-Exchange/tree/main/Security#test-proxylogonps1
<다운로드 링크>
https://github.com/microsoft/CSS-Exchange/releases/latest/download/ExchangeMitigations.ps1

현재 V3 제품에서는 해당 파일에 대해 아래와 같이 진단하고 있으며, 취약점 대상 시스템일 경우 시스템 점검 후 Microsoft 보안 가이드를 참고하여 업데이트가 필요하다.

[파일 진단]
Exploit/ASP.Cve-2021-27065.S1406 (2021.03.12.03)
Backdoor/Win.Chopper.R373517 (2021.03.23.00)
Backdoor/Win.Chopper.R373580 (2021.03.23.00)
Backdoor/Msil.Chopper.C4374152 (2021.03.16.00)
Backdoor/Win.Chopper.C4386019 (2021.03.23.01)
Backdoor/Win.Chopper.C4386024 (2021.03.23.00)

[Microsoft 보안 업데이트 가이드]
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078

[IOC 정보]
344484508aa5f48f138e490f3042deae
e4d7bce1117021aed6e444f9ad947c3c
d54ae64897546f6c59089116c01dcf7b
e25850f8c77615bc3d70e3d653c7b7e5
475292ca8513fbb91927b1187e0a6f94
9e3ea423e6295978d2951b067b127dff
1053062f7ac204966f0bda55b0abbff0
7b492264983a024704f6b0f7ee893676
a173b1abb9aab208aaafaae6a2d0aec0
bbd29747c02a8437e1fefb6b9a41a093

[참고 자료]


5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments