AhnLab EDR을 활용한 BlueKeep 공격 탐지

BlueKeep(CVE-2019-0708)은 2019년 5월에 공개된 취약점으로, 클라이언트와 서버 간의 RDP(Remote Desktop Protocol) 연결 과정에서 발생한다. 클라이언트가 특정 채널(MS_T120)로 악의적인 패킷을 전송하면, Use-After-Free 취약점이 발생하여 원격 코드 실행이 가능해진다.[1] 이 취약점은 최근까지도 ASEC 블로그에서도 다뤄졌으며[2], APT 그룹이 이를 활용하고 있다.

여기에서는 최근 AhnLab EDR(Endpoint Detection and Response)에서 탐지된 BlueKeep 취약점에 대해 설명한다.

탐지된 공격은 ASEC 블로그[2]에서 언급된 것과 유사한 유형의 공격 도구를 사용한 것으로 보이며, BlueKeep 취약점을 이용한 공격은 Windows의 기본 프로그램인 spoolsv.exe에서 악의적인 명령을 실행하게 한다. [그림 1]에서 볼 수 있듯이, spoolsv.exe에서 실행된 cmd.exe가 이를 보여준다.

[그림 1] spoolsv.exe에서 실행된 cmd.exe

 

EDR 다이어그램을 통해 탐지된 악의적인 명령을 확인해보면, 공격자는 Windows의 기본 프로그램인 cmd.exe를 Narrator.exe로 파일명을 변경한다. 사용자가 로그오프 상태일 때 접근성 기능을 통해 cmd.exe로 변경된 내레이터 기능을 이용하면, 실제로는 Narrator.exe가 아닌 cmd.exe가 실행된다. 이렇게 실행된 cmd.exe는 시스템 권한으로 실행되기 때문에, 공격자는 권한 상승을 목적으로 악의적인 명령을 사용한 것으로 추정된다.

[그림 3]상의 내레이터뿐만 아니라 접근성 기능이 있는 모든 프로그램이 cmd.exe로 변경될 수 있으며, 이를 통해 악의적인 명령이 실행될 수 있다.

[그림 2] BlueKeep 취약점으로 악의적인 명령이 실행되는 행위 탐지

[그림 3] Windows 7에서의 접근성 기능

 

AhnLab EDR은 국내 유일의 행위 기반 분석 엔진을 통해 엔드포인트 영역에서 강력한 위협 모니터링, 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. 이번 글에서 다룬 취약점과 같이 의심스러운 행위에 대한 정보를 지속적으로 수집하여 탐지, 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있도록 하며, 관리자는 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.