• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정체불명의 공격 그룹, 오라클 솔라리스의 제로데이 노렸다 2020.11.04

오라클 솔라리스의 취약점 CVE-2020-14871, 제로데이 시절부터 익스플로잇 돼
공격자의 정체와 목표는 아직까지 알 수 없어...다만 다양한 고급 기술 선보이기는 해

[보안뉴스 문가용 기자] 아직 정체가 완전히 밝혀지지 않은 공격 단체 하나가 통신사들과 금융 기업들, 컨설팅 업체들을 해킹했다. 이 때 오라클의 솔라리스(Solaris)라는 OS에서 발견된 제로데이 취약점이 악용되었다고 한다. 패치가 나오기 한참 전부터 이 공격자들은 이미 취약점의 존재를 알았고 익스플로잇까지 했다는 게 현재까지 밝혀진 내용이다.

[이미지 = utoimage]


문제의 취약점은 CVE-2020-14871로 오라클이 2020년 10월 정기 패치를 통해 해결한 바 있다. 취약점이 발견된 곳은 오라클의 솔라리스 플러거블 오센티케이션 모듈(Pluggable Authentication Module, PAM)이며, 취약점 익스플로잇에 성공할 경우 인증 과정을 통과하지 않은 공격자가 OS를 침해하고 통제할 수 있게 해준다. 이 과정에서 공격자는 여러 프로토콜을 통해 네트워크에 접근할 수 있게 된다. 익스플로잇에 사용되는 도구는 이블선(EVILSUN)이라고 한다.

보안 업체 파이어아이(FireEye)는 이러한 공격 활동에 대한 분석 보고서를 발표하며 “2020년 중순부터 공격자들이 8080포트를 통해 이블선을 활용하여 CVE-2020-14871을 익스플로잇 했다”고 밝혔다. 접근에 성공했을 경우 공격자들은 슬랩스틱(SLAPSTICK)이라고 하는 백도어를 심었다. 이러한 행위가 제일 먼저 발견된 건 2018년 후반부의 일이라고 한다. 그러고는 바로 다음 날 공격자들은 레몬스틱(LEMONSTICK)이라고 하는 리눅스 백도어를 실행하기 시작했다. 공격자들은 이 백도어를 통해 크리덴셜과 각종 시스템 및 연결 정보를 훔쳐냈다.

그런 후 519일 동안 공격자들은 시스템에 조용히 머물러 있었다. 파이어아이는 이 기간 동안 공격자들의 공격 행위와 관련된 증거를 충분히 수집할 수 없었고, 따라서 공격자를 추적하기 힘들었다고 한다. 그런 와중에 또 다른 솔라리스 서버가 이 공격자들의 인프라와 연결되는 상황이 발생했다. 비슷한 시기에 다크웹 시장에서 오라클 솔라리스 SSHD 원격 루트 익스플로잇 도구가 거래되는 것이 발견되기도 했다. 이 도구의 가격은 약 3천 달러였다. 여기서부터 다시 추적이 시작되었다고 한다.

파이어아이는 이 공격자들을 UNC1945라고 부른다. 정체가 밝혀지지 않은 미지의 그룹에 파이어아이는 UNC라는 이름을 붙인다. 파이어아이에 따르면 UNC1945는 자체 제작한 케뮤(QEMU) 가상기계를 여러 호스트에 심었다고 한다. 이 가상기계는 리눅스 시스템 내에서 start.sh 스크립트를 활용해 실행시킬 수 있다. 실행될 경우 TCP 포워딩이 실시된다. TCP 포워딩과 SSH 터널을 함께 활용할 경우 공격자들은 자신들의 가상기계와 C&C 서버를 연결시킬 수 있게 된다.

공격자들의 가상기계 자체에도 네트워크 스캐너, 익스플로잇 도구, 정찰 도구 등 여러 가지 공격 도구들이 포함되어 있다. 여러 가지 탐지 및 분석 방해 도구들과 포렌식 방해 기술들도 혼합되어 사용된다. 자신들의 공격 행위를 감추기 위한 각종 난독화 기법들도 동원된다. 이렇게 해서 침투에 성공하면 슬랩스틱과 레몬스틱과 같은 도구들을 사용해 크리덴셜을 훔치고 권한을 상승시킨다. 횡적으로 움직여 다른 시스템들을 감염시키기도 한다.

UNC1945는 익스플로잇 후에 사용되는 도구들을 다양하게 다운로드 받기도 한다. 그 중 대표적인 것이 퓨피랫(PUPYRAT)이다. 파이선으로 만들어진 원격 관리 도구다. 그 외에 블루킵(BlueKeep) 취약점을 스캔하는 도구도 자주 사용된다고 한다. 블루킵은 마이크로소프트의 원격 데스크톱 프로토콜에서 발견된 취약점이다.

이렇게 다양한 활동을 실시하고 있지만 데이터가 유출되었다는 걸 나타내는 직접적인 증거는 아직 나타나지 않았다고 한다. 또한 이렇게까지 고급 기술과 전략을 활용해 솔라리스에 침투하고 백도어까지 심은 목표도 짐작하기 어려운 상태라고 한다. 정체도 모르고 목적도 모른다는 것이다.

“UNC1945는 오라클 솔라리스를 표적으로 삼아, 다양한 도구들을 사용해 공격을 진행했고 성공을 거두었습니다. 그런 후에도 다양한 도구들과 가상기계까지 사용하여 침해한 시스템에 오랜 기간 머무를 수 있도록 발판을 마련하기도 했습니다. 그 과정에서 추적과 감시를 따돌리기 위한 고급 전략을 활용하기도 했고요. 마치 ‘우리는 다양한 도구를 쓸 줄 알고, 여러 장비들에 침투할 능력도 있어’라고 실력을 과시한 것에서 그친 것 같습니다. 조금 더 추적하여 이들의 진짜 목표가 무엇이었는지 알아내야 할 것입니다.”

3줄 요약
1. 정체 불명의 공격 단체, 현재 오라클의 솔라리스 공격 중.
2. 솔라리스에서 발견된 제로데이 취약점을 패치 이전부터 꾸준히 익스플로잇 했음.
3. 이 공격 단체의 정체와 목적에 대해서는 아직 알려진 바가 없음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>