HiveNightmare (CVE-2021-36934) 악용 시도 탐지

2021년 7월은 시끄러운 사이버 보안 사건들로 인해 정말 뜨겁고 어려운 달이 되고 있습니다. 사이버 세계가 여전히 회복 중인 가운데, PrintNightmare 취약점 (CVE-2021-1675), Kaseya 공급망 공격, 그리고 SolarWinds Serv-U 제로데이 (CVE-2021-35211), Windows는 공식적으로 자사 제품 내 새로운 악명 높은 결함을 발표했습니다. 최근 밝혀진 HiveNightmare(또는 SeriousSAM) 버그는 지난 2년간 출시된 모든 Windows 10 버전에 영향을 미치며, 권한이 없는 Windows 10 사용자도 관리자 자격 증명을 획득할 수 있게 합니다.

HiveNightmare (CVE-2021-36934) 설명

HiveNightmare 또는 Serious SAM은 권한 상승 문제 이며, 보안 계정 관리자(SAM) 데이터베이스 내부의 여러 시스템 파일에 대한 접근 제어 목록(ACL)의 권한 결함으로 인해 발생합니다. 잘못된 구성으로 인해 낮은 권한의 사용자가 호스트의 SAM, 시스템 및 보안 Windows 레지스트리 하이브 파일을 읽을 수 있습니다. 이러한 중요한 파일은 계정 비밀번호 해시, 원본 Windows 설치 비밀번호, 모든 컴퓨터 비공개 키를 해독하는 데 사용되는 DPAPI 컴퓨터 키 등을 포함한 매우 민감한 정보를 포함합니다.

HiveNightmare 결함을 성공적으로 악용하면 로컬의 적대자가 SYSTEM 권한으로 임의의 코드를 실행할 수 있습니다. 결과적으로 해커는 대상 인스턴스에서 악성 소프트웨어를 실행하고 민감한 데이터를 접근 및 조작하거나 심지어 새로운 관리자 계정을 만들 수 있습니다. 그러나 CVE-2021-36934를 활용하는 데는 제한이 있습니다. 해커는 공격을 진행하기 위해 타겟 장치에서 코드를 실행할 수 있는 권한을 얻어야 합니다.

이 결함은 식별되었습니다 사이버 보안 연구원 Jonas Lykkegaard에 의해 보고되었으며, 공급업체에 보고되었습니다. Microsoft에 따르면, 잘못된 구성은 빌드 1809부터 모든 Windows 10 버전에 영향을 주고 있으며, 다행히 웹상에 공개적으로 사용 가능한 개념 증명(PoC) 익스플로잇은 현재 없습니다.

HiveNightmare 탐지 및 완화

Microsoft는 2021년 7월 20일 HiveNightmare 취약점(CVE-2021-36934)을 확인했으며, 현재 이 문제를 해결하기 위한 전용 패치를 연구 중에 있습니다. 지금까지 공식 패치는 배포되지 않았습니다만, Microsoft는 게시했습니다 명령 프롬프트 또는 PowerShell을 사용하여 액세스를 제한하고 볼륨 섀도 복사본 서비스(VSS) 섀도 복사본을 삭제해야 하는 해결 방법을 제시했습니다.

사이버 보안 커뮤니티가 SeriousSAM 결함을 활용하려는 공격을 식별하고 완화할 수 있도록 돕기 위해, SOC Prime은 CVE-2021-36934 악용을 예고하는 의심스러운 작업을 드러내고 Shadow Copies를 포함한 워크스테이션을 식별할 수 있는 탐지 규칙을 출시했습니다.

HiveNightmare/SeriousSAM/CVE-2021-36934 공격 악용과 관련된 [감사 경유] Shadow Copies를 포함한 워크스테이션 식별

SOC Prime의 이 탐지 규칙은 SAM/시스템 파일에 잘못된 권한을 가진 오래된 섀도 복사본 스냅샷을 포함하는 워크스테이션을 식별하는 데 사용할 수 있습니다.

SIEM & 보안 분석: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix

HiveNightmare/SeriousSAM/CVE-2021-36934 공격 악용 전 SAM/SECURITY에 수상한 작업 (cmdline 경유)

이 탐지 규칙은 CVE-2021-36934 공격 악용과 관련된 적대자의 수상한 작업을 식별하며, 예를 들어 icacls는 SAM/시스템 파일의 권한을 확인합니다.

SIEM & 보안 분석: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender ATP, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, Securonix

규칙은 MITRE ATT&CK 방법론 에 매핑되어 있으며, Privilege Escalation 전술과 Valid Accounts(t1078) 기법의 Local Accounts 하위 기법(t1078.003)을 다루고 있습니다. 탐지 콘텐츠는 등록 후 Threat Detection Marketplace에서 사용할 수 있습니다.

Threat Detection Marketplace를 탐색하여 20개 이상의 시장을 선도하는 SIEM, EDR, NTDR, 그리고 XDR 기술에 맞춘 100,000개 이상의 자격 있는 크로스 벤더 및 크로스 도구 탐지 규칙을 찾아보십시오. Detection as Code 플랫폼을 귀하의 탐지 콘텐츠로 풍요롭게 하여 세계의 사이버 커뮤니티에 기여하고 싶으신가요? 우리 Threat Bounty Program에 합류하여 더 안전한 미래를 만드세요!

플랫폼으로 이동 Threat Bounty에 합류하기