제로로그온 공격 탐지 (CVE-2020-1472)
목차:
7월은 매우 더운 한 달이었고, 특히 중대한 취약점이 많았습니다 (1, 2, 3), 하지만 8월의 Microsoft 패치 화요일은 비교적 조용히 지나갔습니다. 네, 100개가 넘는 취약점이 패치되었고, 17개의 결함이 심각한 것으로 평가받았으며, Microsoft는 ‘우리는 모두 멸망할 것입니다’ 수준의 버그를 지적하지 않았습니다. 당시 보안 연구원들은 Zerologon 공격, 즉 Netlogon 원격 프로토콜을 악용하여 도메인 컨트롤러에 대해 관리자 접근을 얻을 수 있는 중요한 권한 상승 결함(CVE-2020-1472)에 주목했습니다.
Zerologon 취약점
기본적으로 발견된 CVE-2020-1472 (CVSS 점수: 10.0)는 사기꾼들이 도메인 관리자 계정을 장악할 수 있도록 했습니다. 이 취약점은 Common Vulnerability Scoring System에 의해 가장 높은 심각도로 평가받았으며, 실행 가능한 POC 익스플로잇과 CVE-2020-1472 활용과 관련된 악의적 활동이 높은 확률로 예상되기 때문입니다.
CVE-2020-1472 취약점은 Netlogon 원격 프로토콜에서 사용되는 암호 알고리즘과 직접적으로 관련이 있습니다. 이 취약점은 초기 변수 또는 초기화 벡터가 무작위 수 대신에 0으로 설정되는 착취의 특수성 때문에 명명된 것입니다.
Zerologon 공격에 대한 기술적 세부사항
오늘날 보안 회사인 Secura는 Zerologon의 중대한 결함 뒤의 기술적 세부사항을 발표했으며, CVE-2020-1472 취약점의 악용 용이성 증거가 이미 쏟아지고 있습니다. Zerologon은 해커가 피해 도메인 컨트롤러를 장악할 수 있게 합니다. 도메인 컨트롤러와 TCP 세션을 설정하기 위해, 해커는 일반적으로 네트워크 내에서 장비에 물리적 접근을 하거나 외부 네트워크에서 입지를 갖고 있습니다. 먼저, 사기꾼들은 회사의 네트워크에서 컴퓨터의 자격 증명을 위조해야 하며, 이는 Netlogon 원격 프로토콜의 초기화 벡터가 열악하기 때문에 256번 미만의 시도로 가능합니다. 그런 다음 해커는 MS-NRPC 내 암호화 전송 메커니즘을 비활성화하여 추가 작업을 위한 길을 열고, 처음 시스템에 접근했던 계정의 비밀번호를 변경하여 컴퓨터가 로그인할 수 없도록 만듭니다.
CVE-2020-1472의 보안 업데이트 및 완화
Microsoft는 두 단계로 보안 문제를 해결할 계획이며, 기업 네트워크 내 장치의 연결을 근본적으로 수정할 예정입니다.
첫 번째 단계인 초기 배포 단계는 2020년 8월 11일에 시작되었습니다. 이 단계는 2020년 Q1까지 계속되며, 이 기간 동안 업데이트가 출시될 것입니다. Microsoft는 CVE-2020-1472와 관련된 취약한 Netlogon 연결에 대해 관리자에게 경고하기 위해 새로운 EventID를 추가했으며, 영향을 받은 Windows Server 버전에 대한 업데이트와 함께 추가되었습니다. 이 중 EventID 5829는 취약한 Netlogon 연결에 대해 정보 제공을 위해 추가되었습니다.
두 번째 단계인 집행 단계는 2021년 2월 9일에 시작될 예정이며, 업데이트가 설치되면 그룹 정책에 의해 허용되지 않는 한, 도메인 컨트롤러는 취약한 Netlogon 보안 채널 연결을 사용하는 장치의 취약한 연결을 거부할 것입니다.
Zerologon 공격의 기술적 세부사항 및 탐지
이제 조직의 네트워크에서 시스템을 손상시킨 사이버 범죄자들은 거의 즉시 도메인 컨트롤러에 접근할 수 있습니다. Emotet or TrickBot 등 감염된 시스템에 다른 그룹에 대한 접근을 제공하는 봇넷은 더욱 위험해질 것이며, 랜섬웨어 갱단이 네트워크에 침입하는 순간부터 파일 암호화를 시작하기까지 소요되는 시간이 크게 줄어들 것입니다.
아직 보안 업데이트를 설치하지 않았다면 즉시 설치하세요. 또한 Zerologon 공격을 탐지하기 위해 저희 선임 위협 사냥 엔지니어 Adam Swan의 커뮤니티 규칙을 다운로드하고 배포할 것을 권장합니다: https://tdm.socprime.com/tdm/info/FgNYLnTxIVrs/7WbXfnQBSh4W_EKGaxL5/
이 규칙은 다음 플랫폼에 대한 번역이 있습니다:
SIEM: Azure Sentinel, ELK Stack, RSA NetWitness, Splunk, LogPoint, Humio
NTA: Corelight
MITRE ATT&CK:
전술: 측면 이동
기술: 원격 서비스 악용 (T1210)
SOC Prime 위협 탐지 마켓플레이스에서 Zerologon 공격 (CVE-2020-1472 취약점) 탐지를 위한 새로운 규칙이 게시되고 있습니다.
NVISO에 의해 허용된 취약한 Netlogon 보안 채널 연결 https://tdm.socprime.com/tdm/info/S4U7tNVmkwFr/Jp2DknQBPeJ4_8xcsU3h/?p=1
무명 사용자가 Adam Swan, SOC Prime 팀에 의해 기계 암호를 변경함 https://tdm.socprime.com/tdm/info/EPl2OKBmxbJ6/fHN5k3QBSh4W_EKG8VJB/?p=1#
SOC Prime TDM을 시도해 볼 준비가 되셨습니까? 무료로 가입하십시오. 또는 위협 보상 프로그램에 참여 하여 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하십시오.
