posted by 알짜 정보 岳岩 2019.11.12 08:07

지난 주 발생한 사상 첫 블루킵 익스플로잇 공격...모네로 채굴이 목적
MS는 여러 지표 조사해 공격 가능성 높아지고 있다고 경고...랜섬웨어가 될 수도


[보안뉴스 문가용 기자] 블루킵(BlueKeep) 취약점이 드디어 실제 공격자들 손에 익스플로잇 되었다는 소식이 있고 나서, 마이크로소프트가 “앞으로 더 많은 공격에 활용될 가능성이 높다”는 경고의 메시지를 발표했다. 지난 주 일부 공격자가 암호화폐 채굴 코드를 배포하는 데에 블루킵 취약점을 활용했던 것이 발견된 바 있다.

[이미지 = iclickart]


마이크로소프트는 “이번에는 다행히 암호화폐 채굴 코드로 끝났지만 다음에는 랜섬웨어를 비롯해 더 파괴적인 페이로드가 배포될 수 있다”는 입장이다. 아직까지 실제로 그런 공격이 발생한 사례는 없지만 “시간 문제일 뿐”이라고 믿고 있다.

블루킵 취약점은 CVE-2019-0708로, 윈도우 원격 데스크톱 서비스(RDS)에서 발견된 오류이며 ‘워머블(wormable)’ 특성을 가지고 있다. 멀웨어가 웜 방식으로 퍼져갈 수 있게 해준다. 지난 주 누군가 암호화폐 채굴 멀웨어를 블루킵을 통해 퍼트리려다가 발각된 바 있다.

마이크로소프트는 블루킵 취약점에 대한 패치를 올해 5월 14일에 배포했다. 당시 마이크로소프트는 해당 취약점이 매우 위험한 것이라고 판단해 이례적으로 윈도우 XP를 위한 패치도 발표했다. 보안 권고문 역시 여러 차례 발표했으며, FBI까지도 패치를 종용했다. 그럼에도 패치되지 않은 시스템이 아직도 많은 것으로 알려져 있다.

최초의 블루킵 익스플로잇으로 보이는 이번 암호화폐 채굴 공격은 블루킵 취약점이라는 이름을 제일 먼저 붙인 보안 전문가 케빈 뷰몬트(Kevin Beaumont)가 10월 23일 발견했다. 공격자는 모네로(Monero) 암호화폐를 채굴하기 위해 블루킵을 익스플로잇 한 것으로 보인다.

뷰몬트는 이번 공격을 영국의 보안 전문가인 마커스 허친스(Marcus Hutchins)와 함께 분석했다. 그 결과 지난 9월에 발표된 블루킵 메타스플로잇(BlueKeep Metasploit) 모듈이 이번 공격에 활용되었다는 걸 파악할 수 있었다. 하지만 마이크로소프트는 “해당 모듈의 행위 기반 탐지 기능이 9월 초에 마이크로소프트 디펜더 ATP 고객들에게 배포됐다”며, “이를 설치한 고객들은 위험에 노출되지 않았다”고 주장했다.

블루킵 메타스플로잇 모듈은 아직 꽤나 불안정한 모습을 보여주고 있다고 한다. “RDP 기능과 관련해서 꽤나 자주 시스템 마비 상태를 일으킵니다. 마이크로소프트는 이러한 정보를 활용해 공격이 발생할 때마다 이를 추적할 수 있었던 것으로 보입니다.” 뷰몬트의 설명이다.

그렇다는 건, 정말로 MS의 우려처럼 블루킵을 통한 공격이 조만간 늘어날 전망이라면, RDP 기능과 관련된 서비스 및 시스템 마비 현상이 증가하는 것을 관찰할 수 있어야 한다는 뜻이 된다. 실제로 9월 6일부터 RDP 서비스가 중간에 멈추거나 마비되는 현상이 매일 10에서 100건으로 10배 증가했다. 9월 6일은 블루킵 메타스플로잇 모듈이 발표된 날이다.

또한 10월 9일부터 시작해 메모리 변형으로 인한 시스템 마비 및 서비스 중단 현상 또한 증가하기 시작했다고 한다. 10월 23일부터는 외부 보안 전문가들의 허니팟들에서 시스템 마비 및 서비스 중단 현상이 잡히기 시작했다.

“이렇게 수집된 증거들과 데이터들을 봤을 때 블루킵으로 암호화폐를 채굴하려던 공격자는 이미 9월에도 또 다른 채굴 코드를 배포하기 위한 목적으로 캠페인을 벌인 것을 알 수 있습니다. 같은 C&C 인프라와 얽힌 임플란트가 발견되기도 했습니다. 이 C&C 인프라는 이스라엘이 호스팅 되어 있는 것으로 나타났습니다.”

MS가 추적하고 조사한 바에 따르면 블루킵을 통한 암호화폐 채굴 공격에 당한 시스템은 프랑스, 러시아, 이탈리아, 스페인, 우크라이나, 독일, 영국 등에서 주로 발견되고 있다고 한다.

“공격자는 제일 먼저 인터넷에 연결된 RDP 서비스들 중 블루킵 취약점이 있는 것을 스캔했을 것입니다. 그런 후 블루킵 메타스플로잇 모듈을 활용해 파워셸 스크립트들을 실행시켰을 것이고, 이를 통해 암호화폐 채굴 코드를 로딩했을 가능성이 높습니다.” MS의 설명이다.

“결국 블루킵 취약점을 패치하지 않는다면, 블루킵은 언제까지라도 현대 네트워크에 꺼림칙하게 남아 있는 위협거리가 될 것입니다. 패치 후에라도 크리덴셜을 제대로 관리 및 보호하지 않는다거나, 전체적인 보안 인식이 개선되지 않는다면 블루킵 같은 취약점은 어디서나 다시 나타날 수 있습니다. 윈도우 사용 고객들이라면 최대한 빨리 업데이트를 적용하시기를 권장합니다.”

3줄 요약 1. 지난 5월 블루킵 취약점 패치한 MS, 그때부터 이미 여러 번 경고.
2. 최근 블루킵 익스플로잇 한 실제 공격 등장하자 MS는 다시 한 번 경고.
3. 블루킵 메타스플로잇을 활용한 활동들, 9~10월 사이에 자주 발견됐음. /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요