Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Log4Shell을 이용한 새로운 랜섬웨어 공격발견
작성일 2021-12-15 조회 3336

Log4Shell

 

Log4j의 Log4shell 취약점을 악용하여 랜섬웨어를 다운로드 및 설치한 사례가 연구진들에 의해 첫번째로 공개되었다.

 

지난 금요일, Apache Log4j Java 로깅 플랫폼에서 Log4Shell이라는 취약점에 대한 PoC가 공개되었다. Log4j는 개발자가 Java 애플리케이션에서 오류와 이벤트들을 로깅할 수 있도록 하는 프레임워크다. 이 취약점을 통해 위협 행위자는 Log4j에서 URL에서 코드를 실행하는 특수 JNDI 문자열을 만들 수 있다. 이를 통해 위협 행위자는 취약 장치를 탐지하거나 원격 사이트에 있는 악성 JAVA 파일을 로드하여 임의의 코드를 실행할 수 있다. 현재 Log4j 2.15.0와 Log4j 2.16.0버전에서 해당 취약점에 대한 패치가 이뤄졌으나, 위협 행위자들에 의해 채굴, 봇넷, 코발트 스트라이크, 비콘 등 다양한 악성 코드를 설치하기 위해 이 취약점이 악용되고 있다. 

 

지난 14일, 보안 회사 BitDefender의 연구진들은 Log4Shell을 통해 랜섬웨어 제품군이 직접 설치되고 있는 것을 발견하였다. URL hxxp://3.145.115[.]94/Main.class에 있는 Main.class Java 클래스 파일을 다운로드하면 Log4j에 의해 Main.class가 취약한 시스템내에서 로드되고 실행된다. 한번 로드되게 되면 Khonsari라는 .NET 바이너리로 이뤄진 랜섬웨어를 다운로드 받게 된다. 해당 랜섬웨어를 실행하여 얻은 랜섬 노트를 보면 다음 그림과 같다. 



Khonsari ransom note

[그림 1. Khonsari 랜섬웨어 랜섬 노트]

 

 

이후 공격에서 BitDefender 연구진은 이 위협 행위자가 랜섬웨어를 배포하기 위해 사용한 서버가 Orcus Remote Access 트로이 목마를 배포하기 위해 사용된 서버였다는 것을 알아내었다. 

 

랜섬웨어 전문가 마이클 길레스피는 이 Khonsari라는 랜섬웨어가 유효한 암호화를 사용하고 있으며 보안성이 높아 무료로 파일을 복구할 수 없을 것이라고 말했다. 그러나 특이한 점은 해당 랜섬웨어로 인해 암호화된 파일을 복구하기 위해서 위협 행위자에게 연락할 방법이 없다는 것이다. 이 랜섬웨어를 이용한 위협 행위자의 연락처가 미국 Louisiana 주의 골동품 가게로 되어 있다는 점을 미루어 볼 때, 이번에 처음으로 공개된 Log4Shell  악용 랜섬웨어 공격 사례의 희생자가 실제 피해자인지 아니면 미끼로 기재된 것인지는 불분명하다. 

 

확실한 것은 이번 공격 사례가 Log4Shell 취약점을 이용하여 더 다양하고 진보된 랜섬웨어 공격들이 가능할 수 있음을 의미한다. 

 

 

 

출처
https://www.bleepingcomputer.com/news/security/new-ransomware-now-being-deployed-in-log4shell-attacks/

첨부파일 첨부파일이 없습니다.
태그 Log4Shell  CVE-2021-44228