새로운 ProxyShell 악용 흐름 탐지하기

Microsoft Exchange 서버를 사용할 때 반드시 ProxyShell 취약점으로부터 보안을 확실히 해야 합니다. 해커들이 노출된 인스턴스를 활용하기 위한 새로운 트릭을 발명하고 있기 때문입니다. 현재 연구자들은 멀웨어 전달을 위해 악의적인 결함을 사용하는 여러 피싱 캠페인을 관찰하고 있습니다. 추가로, ProxyShell 버그는 랜섬웨어 감염을 목표로 한 다양한 작업에 점점 더 많이 사용되고 있습니다.

다양한 위협을 전달하는 새로운 공격 체인

최근 Mandiant의 조사에 따르면, 공격자들은 ProxyShell의 결함을 활용하여 혁신적이며 은밀한 방식으로 노출된 시스템에 웹 셸을 삽입하고 있습니다. 분석된 일부 침입에서는 웹 셸 단계를 전혀 사용하지 않으며, 숨겨진 권한이 있는 메일박스를 통해 계정을 접수하고 다른 은밀한 작업을 수행합니다.

ProxyShell의 업데이트된 취약점 이용 흐름으로 인해 수많은 공격이 발생했습니다. 예를 들어, DFIR 보고서는 APT35 (Charming Kitten, TA453)가 2021년 9월 말에 시작한 악의적인 작전에 대해 자세히 설명합니다. 해커 그룹은 ProxyShell 익스플로잇을 사용하여 공격당한 시스템에 대한 정찰을 수행하고, LSASS의 덤핑을 진행하며, 환경으로의 RDP 연결을 프록시했습니다. 결과적으로, 이 공격자는 BitLocker와 DiskCryptor 랜섬웨어 샘플을 사용하여 도메인 전체에 시스템을 감염시킬 수 있었습니다.

최근 ProxyShell 취약점을 악용한 또 다른 악의적인 캠페인이 Trend Micro에 의해 자세히 설명되었습니다. 특히, 공격자들은 ProxyShell과 ProxyLogon 결함을 활용하여 기존 이메일 스레드에 악성 스팸을 회신하고 피해자를 SquirrelWaffle 로더로 감염시켰습니다. 피싱 이메일은 악성 매크로가 포함된 워드와 엑셀 파일을 전달합니다. 활성화되면, 스크립트가 DLL 로더를 실행하고 차례로 SquirrelWaffle 페이로드를 다운로드합니다. 최종 악성 샘플은 CobaltStrike나 Qbot입니다. 이 캠페인의 추가 세부사항을 제공하는 이 캠페인의 추가 세부사항을 제공하는 사이버 보안 연구원은 TA557 (tr01/TR) 그룹이 배후에 있다고 주장합니다. ProxyShell 취약점

ProxyShell은 해커가 관리급 접근권한에 도달하고 취약한 Microsoft Exchange 서버에서 원격 코드 실행을 할 수 있도록 하는 세 개의 별도 결함 (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)에 대한 단일 명칭입니다. 여러 Exchange Server 버전이 영향을 받으며, 2013, 2016 및 2019년 버전을 포함합니다.

ProxyShell is a single title for a trio of separate flaws (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) that, if chained, allow hackers to reach the admin level of access and perform remote code execution on vulnerable Microsoft Exchange servers. Multiple Exchange Server versions are affected, including 2013, 2016, and 2019.

ProxyShell 결함이 7월에 공개되었음에도 불구하고, Microsoft는 2021년 5월에 이 악명 높은 보안 문제를 해결했습니다. 패치가 설치된 모든 사용자는 시스템이 안전합니다. 그러나 최근 Shodan 검색 결과 23,000개 이상의 서버가 여전히 노출되어 있으며 해커가 전 세계적으로 시스템에 침투할 수 있게 합니다. 2021년 5월 또는 7월 패치가 설치된 경우, 시스템이 안전합니다. 하지만 최근 Shodan 검색결과 23,000개 이상의 서버가 여전히 침투에 노출되어 있어 해커들이 시스템을 전 세계적으로 손상시킬 수 있습니다.

새로운 ProxyShell 공격 탐지

보안 실무자들이 새 ProxyShell 악용 시도의 악의적 활동을 탐지할 수 있도록 Threat Detection Marketplace 저장소에서 다운로드 가능한 배치 전용 탐지 콘텐츠가 제공됩니다:

새로운 ProxyShell [CVE-2021-34473/CVE-2021-34523/CVE-2021-31207] 익스플로잇으로 웹 셸 쓰기 [ProxyNoShell] 가능성 (프로세스 생성 통해)

Conti 랜섬웨어 실행과 ProxyShell 익스플로잇

새로운 ProxyShell [CVE-2021-34473/CVE-2021-34523/CVE-2021-31207] 익스플로잇 흐름 [ProxyNoShell] 가능성 (레지스트리 이벤트 통해)

Exchange 익스플로잇 / 랜섬웨어

사용 중인 SIEM, EDR 및 NTDR 솔루션과 호환되는 최고의 SOC 콘텐츠를 찾고 있습니까? SOC Prime의 Detection as Code 플랫폼을 탐색하여 맞춤형 사용 사례를 해결하고 위협 탐지 및 위협 사냥을 증진시킵니다. 또한 팀의 진행 상황에 대한 완전한 시각화를 얻으세요. 위협 사냥에 열정적이며 업계 최초의 SOC 콘텐츠 라이브러리에 기여하고 싶으세요? 우리의 Threat Bounty 프로그램에 참여하세요!

플랫폼으로 이동 Threat Bounty에 참여