Lateral Movement (래터럴무브먼트)
공격자가 초기 액세스 권한을 얻은 후 민감한 데이터 및 기타 고가치 자산을 찾기 위해 네트워크로 더 깊이 이동하기 위해 사용하는 기술. 공격자는 네트워크에 진입한 후 취약한 내부 환경으로 지속적으로 이동하며 다양한 도구와 방법을 사용하여 민감 데이터나, 중요정보 유출 목적에 사용되는 기술.
침해 사고 개요
- 특정 서비스 고객센터 DB 서버
- 리눅스 OS 환경에서 동작하는 악성코드 발견
- /var/tmp/prv.tgz (bruteforce 기능 포함)
- 악성코드 실행후 동일 네트워크 서브넷으로 스캔성 공격 진행
- 공격 진행으로 특정 서비스 부하 발생 / 서비스 지연 현상 발생
상세 분석
1) 방화벽 로그 조사 : 해외 프랑스 IP로 부터 악성코드 다운로드
2) 피해 서버 분석 : wget 패키지 설치 (외부에서 프로그램 다운로드 명령어)
3) 악성코드 발견 : 네트워크 스캔 및 무차별 대입 공격을 자동으로 실행하는 공격툴
SSH 무차별 대입 공격에 필요한 패스워드 파일 일부
4) 피해 서버에 접속 가능한 사용자 PC 분석 (외주 개발 업체)
PC01 : 해외 IP(러시아) 2개 사용자 PC01로 원격 데스크톱 연결중인 상태로 확인됨
5) 피해 서버에 접속 가능한 사용자 PC 분석 (외주 개발 업체)
PC02 : 해외 IP(러시아) 2개 사용자 PC02로 원격 데스크톱 연결중인 상태로 확인됨
6) 감염 PC 윈도우 방화벽 점검 : 외부 “원격 데스크톱” ANY OPEN 상태
7) 엘라스틱서치 로그 분석 : 피해서버 -> 내부망 사설 IP 대역으로 22번 포트스캔 및 Bruteforce Attack 실행
분석 결과
| 세부 분석 내용 | 분석 결과 | 날짜/시간 |
| 침해서버 분석 | 1. wget 명령어를 사용하기 위한 패키지 설치 2. 서버내 악성코드 설치 3. 서버 접속(ssh) 이력 삭제 4. 내부망 IP대역 서버로 SSH 무차별 대입 공격 실행 | 202x/x/x xx:xx |
| 방화벽 로그 조사 | 1. 침해서버 <-> 해외IP 악성코드 다운로드 기록 발견 2. 해외 IP 확인 결과 악성코드 다운로드 사이트로 확인됨 3. 피해서버(172.x.x.x)에서 다수 IP로 약 1300만건의 스캔성 공격로그 발견 (대부분 내부망 IP) | 202x/x/x xx:xx ~ 202x/x/x xx:xx |
| 사용자 PC (외주개발업체) | 1. 공격벡터 의심 PC 2대 점검 결과 비인가 해외 IP에서 원격으로 연결중인 상태로 확인됨 2. OS 방화벽 점검 결과 원격 연결 외부에 ANY OPEN 상태 | 202x/x/x 15:xx |
1) 피해 서버내 악성코드 발견
a. /var/tmp/prv.tgz
2) 악성코드 행위 분석
a. 10.0.0.0/8 A클래스 네트워크 대역으로 특정 포트에 대한 스캔 및 Bruteforce Attack
b. 악성 코드 실행으로 약 20여분간 방화벽 기준 13,290,000 건의 로그 확인
3) 외주 개발 업체 PC 분석
a. 피해 서버 접속 가능한 외주 개발 업체 PC 분석 결과 OS 계정만 알고 있다면 불특정 다수가
언제 어디서나 PC에 접속 할수 있는 취약점 발견
b. 언제 어디서나 PC에 원격 접속하여 유지보수 서비스 운영 서버에 접속 할수 있는 구조
c. 접속 PC 분석,점검중에도 해외 비인가 IP(러시아,프랑스,이란) 에서 원격 연결된것을 확인
d. 감염 PC OS 계정 취약점 발견 (administrator / 단순한 패스워드 사용중)
공격 벡터 및 잠정 결론
피해 서버는 인가된 사용자에 한해 VPN 접속으로만 서버 접속이 가능한것으로 확인되며 사설 IP로 운영중이라 외부에서는 직접 접속이 불가능한 상태 공격자가 침투 할수 있는 경로는 인가된 사용자들의 PC가 유일.
여러대의 접속 가능한 PC를 면밀히 분석한 결과 외주 개발 업체의 PC 두대가 매우 취약한 상태에서 운영중인것으로 확인되었으며, 공격자가 중간 경로로 사용하여 피해 서버에 최종 침투.
침투 후 동일 내부 네트워크의 취약점을 스캔(masscan) 후 운영중인 다수의 리눅스 서버의 SSH 계정 탈취를 목적으로 Bruteforce Attack 실행 흔적 발견.
대응 및 조치
1) 피해 서버 및 동일 서비스 모든 서버 OS 재설치 권고
2) 마이크로 세그멘테이션 아키텍처 권고 (호스트 격리)
3) 서버 접속에 대한 보안 강화 (VPN Two-factor 인증)