파이어아이, SMB 취약점 악용에 사용된 이터널 블루란?

2017년 6월 12일 - 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)가 워너크라이 랜섬웨어가 SMB 취약점 공격에 사용한 이터널블루(EternalBlue) 관련 정보를 제공했다

서버 메시지 블록(Server Message Block, SMB)은 윈도우가 설치된 시스템에서 파일 공유, 프린터 공유, 원격 윈도우 서비스 액세스 등 광범위한 목적으로 사용되는 전송 프로토콜이다. SMB는 TCP 포트 139와 449에서 실행된다. 해커 단체 섀도우 브로커(Shadow Brokers)는 Microsoft security bulletin MS17-010에 포함되었던 "이터널블루(EternalBlue)" 익스플로잇을 올해 4월에 공개하였다. 워너크라이 랜섬웨어(WannaCry ransomware)는 이 취약성을 악용해 윈도우 시스템을 침해한 후 멀웨어를 로드하고 네트워크 상에 존재하는 다른 시스템들까지 감염시켰다. 이러한 공격에서는 멀웨어 유포에 SMB 버전 1과 TCP 포트 445가 사용된다.

SMB는 SMB 트랜잭션에 대한 지원을 제공한다. SMB 트랜잭션은 SMB 클라이언트와 서버 간의 원자적(atomic) 읽기와 쓰기를 가능하게 한다. 메시지 요청이 SMB MaxBufferSize(최대버퍼크기)를 초과하면, 나머지 메시지들은 2차적인 Trans2 요청으로 전송된다. 이 취약점은 srv2.sys 커널 드라이버에 영향을 미치며, 기형의 이차적 Trans2 요청으로 인해 유발된다.

프로토콜 협상 요청/응답과 세션 설정 요청/응답으로 구성된 최초의 SMB 핸드쉐이크 후에, 랜섬웨어는 원격 시스템에 있는 IPC$ 공유로 연결된다. 이 공격과 관련된 또 다른 측면은 그림 1 처럼, 하드코드된 로컬 IP에 연결되도록 멀웨어가 설정된다는 것이다.

[그림 1, IPC$ 공유 연결]

그 다음, 최초의 NT Trans 요청이 전송된다. 이 요청은 페이로드 규모가 상당히 크며 그림2 에서 볼 수 있듯 NOP 시퀀스로 구성된다. SMB 서버 상태 시스템을 취약성이 존재하는 지점으로 이동하여 공격자가 특수 고안한 패킷을 사용해 이를 악용할 수 있도록 만들려는 것이 이러한 활동의 목표다.

 

[그림 2, NT Trans를 통한 악용 서버 준비]

SMB 언어를 사용하는 대규모 NT Trans 요청은 그러한 대규모 요청을 수용할 수 있는 다수의 이차적 Trans2 요청으로 연결된다. 그림 3에서 볼 수 있듯, 이러한 이차적 Trans2 요청들은 기형이다. 이 요청들은 취약점의 유발점으로 작용을 한다. 요청 데이터에는 쉘코드와 암호화된 페이로드가 포함되어 원격 시스템에서 이 멀웨어를 실행시킨다.

 

[그림 3, 악성 Trans2를 통한 오벌플로]

취약점 공격 성공시, 멀웨어의 단계별 공략을 가능하게 하는 암호화된 페이로드가 원격 시스템에 로드된다. 원격 시스템으로 전송된 페이로드는 lsass 프로세스 내에서 “mssecsvc” 서비스를 실행한다. 이 서비스는 인터넷과 로컬 네트워크를 스캐닝하여 액세스가 가능하고 SMB 포트가 노출된 시스템을 파악한다. 그리고 앞서 언급한 취약성을 사용해 원격 시스템에 침입하여 멀웨어 페이로드를 전송한다. 이로써 완전한 하나의 주기가 완료된다. 이 모든 활동들은 매우 신속하게 벌어지며, 전형적인 LAN에 있는 모든 머신들의 경우 단 몇 분 안에 침투할 수 있다.

랜섬웨어는 두 가지 부분으로 구성된다. 주요 부분은 네트워크의 스캐닝과 SMB 취약성 유발을 위한 코드가 담긴 실행 가능한 파일이다. 이 실행 가능한 파일의 리소스 섹션에 있는 "R"이라는 섹션 안에는 또 다른 실행 가능한 파일이 내포되어 있는데, 바로 여기에 랜섬웨어 코드가 있다. 그리고 랜섬웨어 코드가 포함된 파일의 리소스 섹션 “XIA”에는 암호화된 ZIP 파일이 있다. 이 암호화된 ZIP 파일에는 암호화 키, 이미지 파일, Tor 클라이언트 및 두 개의 다른 실행 가능한 파일 taskdl.exe와 tasse.exe가 있다. ZIP 파일 콘텐츠는 멀웨어 코드 내에 포함된 비밀번호 WNcry@2ol7을 사용해 추출이 가능하다.

파이어아이 코리아 전수홍 지사장은 “워너크라이 랜섬웨어를 포함한 많은 사이버 공격들이 윈도우의SMB 취약점을 노리고 있다”라며 “이미 발생한 공격에 반응하는 수동적 보안이 아닌 선제적 보안으로 앞으로 발생할 수 있는 위협을 대상으로 보안 운영과 의사결정을 할 수 있는 위협 인텔리전스가 필요하다.”라고 말했다.

 

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 글로벌 기업 2000개 중 680개 기업을 포함한 4,400개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

 

자료 문의

파이어아이 코리아         고혜민 과장 / 02-2092-6563 / heather.koh@fireeye.com

M&K PR                  대표메일 fireeye@mnkpr.com

황수진 과장/ 010-4659-9714 / sujin@mnkpr.com