사고 개요
2022년 5월 24일, Cisco社에서 Yanluowang 랜섬웨어 조직에 의해 데이터를 탈취당하는 침해 사고가 발생했다.
Yanluowang 랜섬웨어 조직은 Cisco 직원의 크롬 브라우저로부터 동기화된 크리덴셜이 포함된 개인 구글 계정을 탈취했다. 공격자는 해당 직원을 대상으로 MFA 인증 번호를 요구하는 보이스 피싱을 다수 시도하였고, 이를 통해 MFA를 무력화 시키는 데 성공한 공격자는 새로운 MFA 기기를 계정 사용자로 등록하여 지속적으로 VPN 접근 권한을 획득했다.
초기 접근 권한을 확보한 공격자는 포렌식 아티팩트를 최소화하며 시스템 내에서 다양한 악의적인 행위를 수행하였으며, 2022년 8월 10일에는 해킹을 통해 탈취한 Cisco社의 파일 목록을 다크웹에 공개하며 약 2.8GB의 데이터를 훔쳤다고 주장하고 있다.
[그림 1] Yanluowang 랜섬웨어 조직의 Cisco 침해 사실 주장 (출처 : Gi7w0rm 트위터)
Bleeping Computer에 따르면, 랜섬웨어 페이로드의 흔적은 발견하지 못하였으며, 현재까지 확인된 TTPs가 타겟형 랜섬웨어 공격 전초 과정과 일치한다고 밝혔다.
또한, 이번 공격에 활용되어 공개된 IoC 중, 쿠바의 랜섬웨어 공격자 Tropical Scorpius가 사용했던 취약점 CVE-2022-24521(윈도우 CLFS 드라이버 권한 상승 취약점)이 동일하게 사용된 멀웨어가 확인되기도 했다.
이번 글을 통해 Cisco Talos 가 공개한 보고서에 기반하여 각 공격 단계에서 발생한 보안 이벤트가 무엇인지 알아봄으로써, Blue Team 입장에서의 보안 향상의 학습 기회로 삼기를 바란다.
TTP에 따른 주요 윈도우 보안 이벤트
Cisco社에서는 공격자가 사용한 TTP와 각 공격 단계별 Blue Team에서 모니터링할 수 있는 주요 윈도우 보안 이벤트에 대해 공유하였다.
[그림 2] MITRE ATT&CK Mapping
[ Initial Access - Phishing ] 구글계정 해킹 및 피싱을 통한 MFA 무력화
공격자는 Cisco 직원의 개인 구글 계정 해킹을 통해 Cisco VPN 비밀번호를 탈취했다. 사용자는 크롬을 통해 비밀번호 동기화를 활성화하고 브라우저에 Cisco 자격 증명을 저장해둔 상태였으며, 공격자는 이를 통해 Cisco VPN 비밀번호를 탈취한 것으로 확인됐다. 이후, MFA 인증을 우회하기 위해 보이스 피싱을 포함한 일련의 피싱 전략을 사용하였으며, 이를 통해 Cisco VPN에 대한 초기 액세스 권한을 얻을 수 있었다.
인간은 보안 체인에서 가장 약한 고리이며, 앞으로도 공격자들은 이러한 허점을 이용할 것으로 예상된다. 직원들의 피싱 인식 제고를 위한 보안 교육과 훈련이 병행되어야 하지만, 이를 통해 사회공학 기반의 사이버 공격을 온전히 예방하기는 어려운 일이라 판단된다. 따라서, 다음 단계에서 서술하는 주요 공격 관련 보안 이벤트에 대한 모니터링을 통해 공격을 조기에 감지하여 피해를 최소화할 필요가 있다.
[ Command and Control - Remote Access Software ] 원격 접속용 새로운 서비스 설치
공격자는 시스템에 침입하자마자 LogMeIn 및 TeamViewer, Cobalt Strike 등 원격 접근을 위한 도구를 설치하여 백도어 계정을 생성하고 지속적인 공격을 수행하였다.
따라서, 응용 프로그램을 설치할 때 윈도우에서 새 서비스가 설치되었음을 알리는 이벤트 로그를 모니터링할 필요가 있다.
= 모니터링 이벤트 ID
|
Event ID |
Category |
Description |
| 7045 |
System |
시스템에 서비스가 설치되었습니다. |
[ Persistence - Create Account ] 신규 사용자 계정 생성
공격자는 윈도우에 내장된 “net.exe” 명령어를 사용하여 시스템에 새로운 사용자 계정(z)을 생성한 다음, 해당 계정을 로컬 관리자 그룹에 추가하였다.
|
C:\Windows\system32\net user z Lh199211* /add C:\Windows\system32\net localgroup administrators z /add |
[표 1] 공격자의 신규 사용자 계정 생성 행위
따라서, 아래의 이벤트에 대한 모니터링을 통해 적법한 채널을 거치지 않고 새로운 사용자가 생성된 경우 추가적인 확인이 필요하다.
= 모니터링 이벤트 ID
|
Event ID |
Category |
Description |
| 4720 |
Account management |
사용자 계정이 생성되었습니다. |
| 4732 |
Account management |
보안이 활성화된 로컬 그룹에 구성원이 추가되었습니다. |
[ Defense Evasion - Indicator Removal on Host ] 이벤트 로그 수정 및 삭제
새로운 계정 추가 및 그룹 수정, 새로운 소프트웨어 설치 이후, 공격자는 시스템에서 공격 흔적을 확인할 수 없도록 “wevtutil.exe” 유틸리티를 통해 이벤트 로그를 식별하여 삭제하였다.
|
wevtutil.exe el wevtutil.exe cl [LOGNAME] |
[표 2] 공격자의 이벤트 로그 삭제 행위
= 모니터링 이벤트 ID
|
Event ID |
Category |
Description |
| 1102 |
Non Audit |
감사 로그가 지워졌습니다. |
| 104 |
Non Audit |
Application, Setup, System로그가 지워졌습니다. |
이러한 로그 변조 및 삭제를 방지하기 위하여 모든 로그를 중앙 집중화하고 무결성을 유지하는 원격 로깅 시스템의 도입을 고려해볼 수 있을 것이다.
[ Defense Evasion - Indicator Removal on Host ] 사용자 계정 삭제
공격자는 공격 흔적을 지우기 위해 신규 생성하였던 사용자 계정(z)을 삭제하였다.
| net user z /delete |
[표 3] 공격자의 로컬 관리자 계정(z) 삭제 행위
사용자 계정 삭제 관련 이벤트 ID는 아래와 같으며, 이는 조직에서 사용자를 임의로 삭제해서는 안 되는 경우에 대비하여 모니터링할 필요가 있다.
= 모니터링 이벤트 ID
|
Event ID |
Category |
Description |
| 4726 |
Account management |
사용자 계정이 삭제되었습니다. |
[ Defense Evasion - Impair Defenses ] 방화벽 규칙 변경
공격자는 시스템에 대한 RDP 접근 활성화를 위해 호스트 기반의 윈도우 방화벽을 수정하여 연결을 허용했다.
|
netsh advfirewall firewall set rule group=remote desktop new enable=Yes |
[표 4] 공격자의 방화벽 규칙 변경 행위
아래의 이벤트 ID는 테스트 시스템에서 몇 시간 동안 수백 개의 로그가 생성되는 등 자동 경고를 설정하기에 좋은 규칙은 아니지만, 주의 깊게 볼 이벤트 중 하나이다.
= 모니터링 이벤트 ID
|
Event ID |
Category |
Description |
| 2004 |
Security |
Windows Defender 방화벽 예외 목록에 규칙이 추가되었습니다. |
IoC
[ SHA256 ]
|
184a2570d71eedc3c77b63fd9d2a066cd025d20ceef0f75d428c6f7e5c6965f3 2fc5bf9edcfa19d48e235315e8f571638c99a1220be867e24f3965328fe94a03 542c9da985633d027317e9a226ee70b4f0742dcbc59dfd2d4e59977bb870058d 61176a5756c7b953bc31e5a53580d640629980a344aa5ff147a20fb7d770b610 753952aed395ea845c52e3037f19738cfc9a415070515de277e1a1baeff20647 8df89eef51cdf43b2a992ade6ad998b267ebb5e61305aeb765e4232e66eaf79a 8e5733484982d0833abbd9c73a05a667ec2d9d005bbf517b1c8cd4b1daf57190 bb62138d173de997b36e9b07c20b2ca13ea15e9e6cd75ea0e8162e0d3ded83b7 eb3452c64970f805f1448b78cd3c05d851d758421896edd5dfbe68e08e783d18 99be6e7e31f0a1d7eebd1e45ac3b9398384c1f0fa594565137abb14dc28c8a7f (CVE-2022-24521) |
[ Email Addresses ]
| costacancordia[@]protonmail[.]com |
[ Domain ]
|
cisco-help[.]cf cisco-helpdesk[.]cf ciscovpn1[.]com ciscovpn2[.]com ciscovpn3[.]com devcisco[.]com devciscoprograms[.]com helpzonecisco[.]com kazaboldu[.]net mycisco[.]cf mycisco[.]gq mycisco-helpdesk[.]ml primecisco[.]com pwresetcisco[.]com |
[ IP ]
|
104.131.30[.]201 |
108.191.224[.]47 |
131.150.216[.]118 |
134.209.88[.]140 |
|
138.68.227[.]71 |
139.177.192[.]145 |
139.60.160[.]20 |
139.60.161[.]99 |
|
143.198.110[.]248 |
143.198.131[.]210 |
159.65.246[.]188 |
161.35.137[.]163 |
|
162.33.177[.]27 |
162.33.178[.]244 |
162.33.179[.]17 |
165.227.219[.]211 |
|
165.227.23[.]218 |
165.232.154[.]73 |
166.205.190[.]23 |
167.99.160[.]91 |
|
172.56.42[.]39 |
172.58.220[.]52 |
172.58.239[.]34 |
174.205.239[.]164 |
|
176.59.109[.]115 |
178.128.171[.]206 |
185.220.100[.]244 |
185.220.101[.]10 |
|
185.220.101[.]13 |
185.220.101[.]15 |
185.220.101[.]16 |
185.220.101[.]2 |
|
185.220.101[.]20 |
185.220.101[.]34 |
185.220.101[.]45 |
185.220.101[.]6 |
|
185.220.101[.]65 |
185.220.101[.]73 |
185.220.101[.]79 |
185.220.102[.]242 |
|
185.220.102[.]250 |
192.241.133[.]130 |
194.165.16[.]98 |
195.149.87[.]136 |
|
24.6.144[.]43 |
45.145.67[.]170 |
45.227.255[.]215 |
45.32.141[.]138 |
|
45.32.228[.]189 |
45.32.228[.]190 |
45.55.36[.]143 |
45.61.136[.]207 |
|
45.61.136[.]5 |
45.61.136[.]83 |
46.161.27[.]117 |
5.165.200[.]7 |
|
52.154.0[.]241 |
64.227.0[.]177 |
64.4.238[.]56 |
65.188.102[.]43 |
|
66.42.97[.]210 |
67.171.114[.]251 |
68.183.200[.]63 |
68.46.232[.]60 |
|
73.153.192[.]98 |
74.119.194[.]203 |
74.119.194[.]4 |
76.22.236[.]142 |
|
82.116.32[.]77 |
87.251.67[.]41 |
94.142.241[.]194 |
- |
출처
https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
https://trunc.org/learning/cisco-hack-tracks-left-in-the-logs
보안관제센터 MIR Team