Microsoft Exchange ProxyShell 공격 탐지
목차:
수천 개의 Microsoft Exchange 서버가 4월에서 5월 사이 발행된 패치에도 불구하고 ProxyShell 원격 코드 실행 취약점에 여전히 취약합니다. 더욱 상황을 악화시키는 것은 보안 연구자들이 취약한 Exchange 서버에 대한 스캔이 기술적 개요가 2021년 8월 4-5일 Black Hat 회의에서 공개된 이후 급격히 증가하고 있음을 관찰하고 있다는 점입니다.
ProxyShell 버그란 무엇인가요?
ProxyShell은 서로 연결될 경우 인증되지 않은 해커가 취약한 Microsoft Exchange 서버에서 원격 코드 실행(RCE)을 수행할 수 있도록 하는 세 가지 별도 결함을 총칭하는 이름입니다. 첫 번째 버그(CVE-2021-34473)는 ACL 우회를 초래하는 사전 인증 패치 혼동 문제입니다. 두 번째 결함(CVE-2021-34523)는 Exchange PowerShell 백엔드에서의 권한 상승 문제입니다. 마지막으로, 세 번째 문제(CVE-2021-31207)는 사후 인증 임의 파일 쓰기 오탑설정으로 RCE로 이어집니다. 이러한 오탑설정의 조합은 IIS의 포트 443에서 실행되는 Microsoft Exchange의 클라이언트 액세스 서비스(CAS)를 통해 악용될 수 있습니다.
이 버그들은 보안 연구원 Orange Tsai 에 의해 2021년 4월에 식별되고 분석되었습니다. 더욱이 Black Hat 회의에서 Tsai는 공격 킬체인의 개요와 결함의 기술적 세부사항을 제공했습니다. 특히, ProxyShell 공격이 메일 클라이언트 소프트웨어의 자동 구성을 단순화하기 위한 Microsoft Exchange Autodiscover 서비스를 침해한다는 점을 설명했습니다.
Tsai의 Black Hat 발표 는 PeterJson과 Jang 보안 연구자들에게 ProxyShell 공격의 상세한 개요 와 공격 킬 체인의 단계별 설명을 공개하도록 영감을 주었습니다.
이제 세부 사항이 공개되고 킬 체인이 설명됨에 따라, 공격자들은 공개된 취약점 조합을 활용하기 위해 취약한 Microsoft Exchange 서버를 적극적으로 스캔하고 있습니다. 현재까지 해커들의 시도는 그리 활발하지 않지만, 곧 성공적인 공격 시도가 대량으로 발생할 가능성이 있습니다. 게다가 2021년 4월부터 패치가 제공되었음에도 불구하고 여전히 30,000개 이상의 Exchange 서버 가 취약 상태로 남아있어 공격자들이 악의적인 행동을 계속하도록 유도하고 있습니다.
ProxyShell 공격 탐지 및 완화
ProxyShell 결함은 7월에 공개되었지만 Microsoft는 2021년 4월~5월에 이러한 악명 높은 취약점을 이미 수정했습니다. 특히 CVE-2021-34473 및 CVE-2021-34523는 4월의 Microsoft Exchange KB5001779 누적 업데이트에서 조용히 해결되었습니다. CVE-2021-31207는 KB5003435의 릴리스와 함께 패치되었습니다. 관리자들은 ProxyShell 공격의 파괴적인 결과를 예방하기 위해 가능한 한 빨리 서버를 패치할 것을 권장합니다.
보안 전문가 Florian Roth와 Rich Warren이 ProxyShell 공격을 방어하고 네트워크 내의 악의적 활동을 탐지할 수 있도록 전용 Sigma 규칙을 릴리스했습니다. Threat Detection Marketplace에서 이러한 SOC 콘텐츠 항목을 무료로 다운로드하세요:
Exchange ProxyShell 패턴
Florian Roth와 Rich Warren이 작성한 이 규칙은 Exchange 서버에 대한 ProxyShell 악용 시도에서 발견될 수 있는 URP 패턴을 탐지합니다.
SIEM 및 보안 분석: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
이 규칙은 MITRE ATT&CK® 프레임워크에 매핑되어 있으며 초기 액세스 전술 및 공용 애플리케이션 악용 기술(T1190)을 다룹니다.
의심스러운 PowerShell 메일박스 내보내기 공유
Florian Roth가 작성한 이 규칙은 ProxyShell 악용에서 사용되는 로컬 공유로 메일박스를 내보내는 PowerShell 새-MailboxExportRequest를 탐지합니다.
SIEM 및 보안 분석: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, SentinelOne, CrowdStrike, Microsoft Powershell, Microsoft Defender ATP, Carbon Black, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
이 규칙은 MITRE ATT&CK® 프레임워크에 매핑되어 있으며 수집 전술 및 이메일 수집 기술(T1114)을 다룹니다.
Threat Detection Marketplace를 무료로 구독하고 위협 탐지를 위한 완벽한 CI/CD 워크플로를 지원하는 업계 선도적인 Content-as-a-Service (CaaS) 플랫폼에 접근하세요. 우리의 라이브러리는 CVE 및 MITRE ATT&CK® 프레임워크에 직접 매핑된 100K 이상의 검증된, 공급업체 간 및 도구 간 SOC 콘텐츠 항목을 집계합니다. 자신의 Sigma 규칙을 제작하고 싶으신가요? Threat Bounty 프로그램에 참여하여 기여에 대한 보상을 받으세요!
