ProxyShellMiner 탐지: Windows Exchange 서버의 CVE-2021-34473과 CVE-2021-34523 ProxyShell 취약점을 악용한 새로운 암호화폐 채굴 공격 

경계하십시오! 위협 행위자들이 악명 높은 ProxyShell 취약점을 활용하여 Microsoft Windows Exchange 서버를 다시 노리고 있으며, 이를 침해하려고 시도합니다. 사이버 보안 연구자들은 악성 캠페인 ‘ProxyShellMiner’가 두 가지 Microsoft Exchange ProxyShell 결함인 CVE-2021-34473 및 CVE-2021-34523을 악용하여 암호화폐 채굴기를 전달하는 새로운 은폐형 악성 캠페인을 관찰했습니다. 

Microsoft Exchange ProxyShell 취약점을 악용한 ProxyShellMiner 공격 탐지

암호화폐 채굴 공격이 계속 증가함에 따라 조직은 사이버 방어 역량을 강화할 새로운 방법을 찾고 있습니다. CVE-2021-34473 및 CVE-2021-34523으로 추적되는 ProxyShell 결함을 악용한 최신 ProxyShellMiner 캠페인은 정교한 탐지 회피 기법을 적용하고, 악성 코드 배포부터 코드 실행에 이르기까지 다양한 공격 기능을 실험할 수 있는 위협 행위자에게 심각한 위협을 가합니다. 

조직이 환경 내 감염 존재를 적시에 식별할 수 있도록 지원하기 위해 SOC Prime의 Detection as Code 플랫폼이 최근 ProxyShellMiner 암호화폐 채굴 공격을 탐지하기 위한 새로운 Sigma 규칙을 제공했습니다:

파일 관련 이벤트를 통해 CVE-2021-34473 및 CVE-2021-34523 [ProxyShell] 취약점을 악용한 가능한 ProxyShellMiner 캠페인 탐지

이 Sigma 규칙은 생산적인 Threat Bounty 개발자 Aytek Aytemur에 의해 작성되었으며, ProxyShell 취약점을 악용한 ProxyShellMiner 캠페인과 관련된 악성 파일을 탐지합니다. 이 탐지는 MITRE ATT&CK 프레임워크 v12와 일치하며, Execution 전술을 사용자 실행(T1204) 기본 기술로 적용합니다. Sigma 규칙은 자동으로 20개의 SIEM, EDR, XDR 솔루션으로 번역되어 크로스 플랫폼 위협 탐지를 몇 초 안에 수행합니다.

Sigma 규칙과 ATT&CK 하드 스킬을 마스터하고 업계 동료 사이에서 인정을 받고 싶으신가요? Threat Bounty Program 에 참여하여 Sigma 규칙을 커뮤니티와 공유하고 기여를 수익화하여 탐지 엔지니어링 경력을 시작하거나 사이버 보안에서 자기 발전을 이루십시오. 

현재 진행 중인 ProxyShell 악용 시도를 탐지할 콘텐츠를 완전히 장비하기 위해 SOC Prime은 전용 Sigma 규칙 세트를 큐레이팅합니다. 아래 버튼을 클릭하여 CVE-2021-34473 및 CVE-2021-34523 취약점 탐지 콘텐츠에 액세스하십시오. 모든 Sigma 규칙은 CTI로 보강되며, ATT&CK 참조를 제공하며, 운영 메타데이터를 제공하여 간소화된 위협 조사에 기여합니다.

CVE-2021-34473 탐지 탐색 CVE-2021-34523 탐지 탐색

ProxyShellMiner 암호화폐 채굴 공격 분석

ProxyShell 은 연결된 경우 대상 Microsoft Windows Exchange 서버에서 RCE를 수행할 수 있는 3가지 보안 결함의 제목입니다. 이 취약점은 2021년 Microsoft에 의해 밝혀지고 패치되었습니다. 그러나 그 이후, 사이버 수비수들은 ProxyShell 취약점을 활용하여 영향을 받은 Exchange 서버를 손상시키려는 다양한 악용 시도를 관찰하고 있습니다. 손상된 시스템에 웹 셸을 설치합니다.

진행 중인 암호화폐 채굴 공격인 ‘ProxyShellMiner’에서 해커들은 CVE-2021-34473 및 CVE-2021-34523로 알려진 두 가지 ProxyShell 버그를 무기화하여 기업 환경에 진입합니다.

Morphisec 사이버 보안 연구자들 은 관련 적대 활동에 대해 조명을 비춥니다. Exchange 서버를 손상시킨 후 조직의 네트워크를 장악한 적대 행위자들은 조직의 환경 내 모든 장치가 감염되도록 하기 위해 도메인 컨트롤러 폴더에 .NET 기반 페이로드를 배포합니다. 주목할만한 것은 악성 코드 관련 파일을 호스팅하는 적대적 C2 서버가 합법적으로 보인다는 점이며, 이것이 공격 탐지에 도전을 줍니다. 

ProxyShellMiner는 고급 영구성과 탐지 회피 기법 외에도 정교한 암호화를 적용합니다. Morphisec의 조사에 따르면, 악성 코드는 명령줄 매개 변수가 실행에 필요하며, 이는 XMRig 페이로드를 구성하는 키로 사용되며, 실행 시간 분석 방지 기술로도 기능합니다. 

두 번째 공격 단계에서는 ProxyShellMiner가 “DC_DLL” 파일을 다운로드하고, 이 파일은 다른 파일을 해독하는 데 사용됩니다. 다음으로 위협 행위자는 두 번째 악성 다운로드 프로그램을 사용하여 예약된 작업을 실행함으로써 손상된 시스템에 영구성을 확보합니다. 

최종 공격 단계에서 사이버 수비수들은 악성 코드 탐지를 방해하는 보안 회피 기법 사용을 관찰합니다. 이는 Windows 방화벽 프로필에 영향을 미치는 방화벽 규칙을 생성하여 공격자가 일반적으로 사용되는 공격 기법 RunPE를 활용하여 XMrig 채굴기를 원활하게 배포할 수 있게 합니다.

사이버 수비수들은 ProxyShellMiner 감염이 조직 환경에 매우 위험할 수 있으며 결코 간과할 수 없다고 말합니다. 이는 손상된 네트워크에 접근한 후 공격자가 추가 악성 계열을 확산하고 역방향 터널링을 활용하여 인프라를 더 망가뜨릴 수 있는 권한을 얻기 때문입니다. 

디텍션 코드 번역을 여러 플랫폼으로 간소화하고 IOC 기반 사냥을 간소화할 수 있는 범용 도구를 찾고 계십니까? SOC Prime의 Uncoder.IO새 버전을 사용해 보세요. 이는 Sigma 규칙을 27개 이상의 SIEM, EDR, XDR 솔루션으로 자동 변환하고, 위협을 검색하기 위한 사용자 정의 IOC 쿼리를 몇 초 만에 생성할 수 있습니다. 숙련된 보안 엔지니어와 신진 보안 엔지니어 모두 내부 자동 검사를 통해 Sigma 규칙을 다듬으면 사이버 방어 커뮤니티와 탐지 논리를 매끄럽게 공유하여 업계 협력을 촉진할 수 있습니다.