현대 인터넷 사회에서는 쇼단 (Shodan)과 같은 네트워크 및 장치 검색 엔진으로 인터넷에 연결된 전 세계의 장치들의 정보 획득이 가능하다. 공격자들은 이러한 검색 엔진을 통해 공격 대상의 정보를 수집하거나 불특정 다수의 장치에 포트 스캔 등의 공격을 수행할 수 있다. 공격자는 정보 수집 결과를 활용하여 대상 시스템의 약점을 찾아 초기 침투를 시도하고 측면 이동과 랜섬웨어 유포 등의 목표를 달성한다. 따라서 기업 보안 담당자는 외부에 노출된 IT 자산이 존재할 경우 지속적인 관리와 비정상적인 행위에 대한 모니터링이 필요하다.
AhnLab EDR (Endpoint Detection and Reponse)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.
이번 글에서는 공격자가 윈도우 IIS (Internet Information Services) 웹 서버 대상으로 수행하는 초기 침투 단계를 AhnLab EDR을 통해 탐지 및 대응하는 사례를 다룬다.
1. IIS Worker Process (w3wp.exe)
w3wp.exe 프로세스는 IIS 웹 서버의 워커 프로세스이다. 웹 서버의 실질적인 기능을 담당하며 ASP.NET 응용 프로그램을 실행한다. 일반적으로 공격자들은 쇼단과 같은 네트워크 장치 검색 엔진으로 공격 대상을 식별하고 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다.
지난 2024년 4월 24일 게시한 “국내 웹 서버 대상 불법 도박 광고 사이트 연결 악성코드 유포 사례” 게시글을 보면 공격자는 윈도우 정상 유틸리티 (cmd, certutil)를 통해 미터프리터 백도어 악성코드를 다운로드하였다. 감염 PC로부터 웹쉘 탐지 로그는 확인할 수 없었지만 w3wp.exe 프로세스에 의해 cmd.exe가 실행된 것으로 보아 웹쉘로 인하여 미터프리터 백도어가 실행된 것으로 추정된다.
결론
공격자는 MS-SQL, Redis, MeshAgent, 윈도우 IIS 등 외부에 노출된 다양한 공격 표면에 대해 초기 침투를 시도하고 있다. 이러한 공격 표면들은 쇼단과 같은 네트워크 스캔 인프라에서 검색이 가능하므로 기업의 보안 담당자는 공격 표면 관리 (Attack Surface Management)를 통해 공격자에게 노출될 수 있는 자산을 식별하고 지속적으로 보안 패치를 해야한다.
AhnLab EPP (Endpoint Protection Platform), EDR (Endpoint Detection and Response) 제품에서는 자동화된 패치 관리로 보안 사고 방지 및 엔드포인트 및 서버 단말에 대한 지속적인 모니터링 및 엔드포인트 위협 가시성 제공으로 관리자가 기업의 인프라를 안전하게 통합 관리 및 운영할 수 있다.
행위 진단
– InitialAccess/DETECT.Event.M11451
– Execution/DETECT.Behavior.M10699
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지