제품문의

02-6011-1377

보안관제센터

02-6011-2337

FAX

02-463-1376

E-mail

iamguide
@cmtinfo.co.kr

보안공지

공지사항

돌아온 더티카우 취약점, 활발히 익스플로잇 되고 있어

페이지 정보

작성자 최고관리자 작성일18-11-20 19:30 댓글0건

본문

사이버 공격자들이 더티카우(DirtyCOW)라는 버그를 다시 익스플로잇 하기 시작했다. 이를 통해 드루팔 웹 서버(Drupal Web Server)에 백도어를 심고 있다고 한다.

보안 업체 임퍼바(Imperva)의 보안 전문가인 나다브 아비탈(Nadav Avital)이 부활한 더티카우 공격을 제일 처음 발견한 건 10월 31일이다. 당시 드루팔게돈2(Drupalgeddon2) 버그와 시스템 환경설정 오류가 함께 익스플로잇 되고 있었다. 성공 시 취약한 드루팔 웹 서버에 대한 감염은 물론이고 사용자 기기도 장악하는 게 가능했다고 그는 11월 19일자 블로그를 통해 밝혔다.

이 공격이 기존 원격 코드 실행 공격과 다른 점은, 기존의 원격 코드 실행 공격이 1회성이었다면(즉 공격자들이 원격에서 피해자 장비를 통해 코드를 실행하기만 하면 끝), 이번 공격은 지속성이라는 특징을 띄고 있다. 즉 공격이 어떤 이유에서 중단되면, 재차 장비를 감염시키거나 다시 공격 프로세스를 시작하거나 추가 멀웨어를 심는 것이었다.

“제일 먼저 공격자는 드루팔의 환경설정 파일들을 찾아내고 pass라는 단어가 있는 행을 추출합니다. 그런 다음 단어들을 추려내 목록을 만듭니다. 이 단어들 중에는 비밀번호가 있을 가능성이 높습니다. 이 ‘잠재적’ 비밀번호 목록을 가진 공격자는 su root이라는 운영 시스템 명령어를 활용해 사용자(user)를 루트(root)로 변경합니다.” 아비탈의 설명이다.

물론 여러 차례 시도해야 사용자를 루트로 변경시킬 수 있게 된다. 아비탈은 “이 단계까지 성공하면 공격자는 두 번째 페이로드인 sshdstuff를 다운로드해서 실행시킬 수 있게 된다”고 설명을 이어갔다. “최근 공격에서 공격자들은 통신 채널을 SSH를 통해서 열고, 악성 명령어들을 전달함으로써 리눅스의 SSH를 익스플로잇 했습니다. 이는 공격 표적이 된 장비에 SSH 서비스가 설치되어 있다는 걸 전제로 하는 건데요, 만약 그렇지 않을 경우 공격자는 SSH를 설치하기도 했습니다.”

이 공격은 시스템 관리자가 조심스러운 사람이라 루트 비밀번호를 환경설정 파일 내에 남기지 않는다면 성공하지 못한다. 이 경우 공격자는 더티카우 버그를 익스플로잇 해 권한 상승을 노린다. “공격자는 세 가지 더티카우 익스플로잇을 다운로드 받아 하나씩 돌려봅니다. 그 중 한 가지는 C언어로 된 소스코드 파일로 저장되는데요, 실행과 함께 컴파일 되더군요.”

어떻게 해서든 결국 공격자가 원하는 건 루트 권한이다. 성공하면 공격자에게 새로운 서비스를 설치할 권한이 생긴다. 공격자는 이를 활용해 SSH를 설치하고 자기들이 원하는 대로 설정한다. 또한 승인된 키 목록에 자신들의 키도 추가시킨다. 이 상태에서 공격자는 거의 모든 명령을 전달 및 실행시킬 수 있게 된다고 아비탈은 설명한다.

아비탈은 “더티카우는 2년 전에 발견된 버그인데, 아직도 바이러스토탈(VirusTotal) 기준으로 탐지율 0을 기록하고 있다”며 “관리자들은 웹 애플리케이션과 호스트 시스템에 대한 패치를 다시 한 번 점검해야 한다”고 권고한다. 가능하다면 사이버 보안 솔루션을 사용해 공격자들이 아예 처음부터 서버에 다가올 수 없게 만드는 것도 좋은 방법잉라고 덧붙였다.