Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보WannaCry보다 강력한 SMB Wrom의 등장 ETERNALROCKS
작성일 2017-05-26 조회 2673

 

 

WannaCry 는  NSA 해킹툴 중 2개만 이용했던것과 달리, ShadowsBrokers 가 공개한 NSA 해킹툴 중 7개의 기능을 이용하는 악성코드가 발견

 

지난주 이미 WannaCry 외에도 NSA 해킹툴을 사용하는 악성코드가 발견됐지만 이들 또한 EternalBlue 와 DoublePulsar 두 가지만 이용했다. 하지만 'sqlmap' 의 제작자 Miroslav Stampar 에 따르면 EternalRocks 라 명명된 네트워크 웜이 발견됐다고 한다. 이 악성코드는 킬스위치도 없으며, WannaCry와 달리 감염시 은밀하게, 장기간 동작토록 설계됐다. Stampar는 자신의 [SMB 허니팟](https://twitter.com/stamparm/status/864865144748298242)을 통해 알게됐다고. 아래와 같은 취약점을 이용한다고 밝혔다.

 

 

- EternalBlue - SMBv1 exploit tool
- EternalRomance - SMBv1 exploit tool
- EternalChampion - SMBv2 exploit tool
- EternalSynergy - SMBv3 exploit tool
- SMBTouch - SMB reconnaissance tool
- ArchTouch - SMB reconnaissance tool
- DoublePulsar - Backdoor Trojan

 

EternalRocks 은 두 단계로 동작한다. 1단계는 Tor 브라우저를 다운받아 다크웹의 토르네트워크에 위치한 C2서버와 통신에 사용한다. 2단계는 자동분석환경 방지를 위해 24시간 뒤 시작 한다. C2 서버는 위에 언급한 7개의 SMB 익스플로잇을 포함한 응답을 보내고 전파를 수행한다.

 

 

- Wins Sniper 대응 방안

Sniper-IPS

[3505] MS Windows SMB DataDisplacement RCE

[3504] Win32/Worm.EternalRocks.339968.B

[5931] Win32/Worm.EternalRocks.339968.A

[5930] Win32/Worm.EternalRocks.339968

[3477] MS Windows SMB SrvOs2FeaToNt RCE

[3500] MS Windows SMB SrvOs2FeaToNt RCE.A

[3484] MS Windows SMB Doublepulsar Kernel Dll Injection

 

Sniper-UTM

[805374103] MS Windows SMB DataDisplacement RCE

[838861170] Win32/Worm.EternalRocks.339968.B

[838861169] Win32/Worm.EternalRocks.339968.A

[838861168] Win32/Worm.EternalRocks.339968

[805374081] MS Windows SMB SrvOs2FeaToNt RCE

[805374100] MS Windows SMB SrvOs2FeaToNt RCE.A

[805374087] MS Windows SMB Doublepulsar Kernel Dll Injection

 

 

- 분석상세

► MS Windows SMB DataDisplacement RCE 취약점

MS Windows SMBv1 구성 요소에서 원격 코드 실행 취약점이 발견되었습니다.
해당 취약점은 SMB 프로토콜의 두번째 필드에 해당하는 Command 필드에 조작된 데이터를 전송하면 서버에서 부적절하게 요청을 처리해서 취약점이 발생합니다.
공격 성공시 공격자는 임의의 코드를 실행할 수 있다.

► MS Windows SMB RCE Scan

[MS17-010] Microsoft Windows SMB 서버용 보안 업데이트에 대하여 패치 여부(취약 여부)를 확인하는 스캔을 탐지하기 위한 정책이다.
NSA Hacking Tool, WanaCry 랜섬웨어에서 해당 취약점을 이용한 공격이 발생하여, 다수의 취약점 점검 도구에서 MS17-010 패치 여부를 확인하기 위해 Scan을 시도한다.
원격의 인증되지 않은 공격자는 해당 Scan을 통해 취약한 시스템을 파악 할 수 있다.

► MS Windows SMB SrvOs2FeaToNt RCE

srv.sys 의 SrvOs2FeaToNt 함수에서 데이터 처리과정에서 취약점이 발생한다.
해당 취약점은 Shadow Brokers에 의해 공개된 NSA 해킹 툴에 의해 공개 되었으며, 공개 되기 이전에 MS에서는 해당 취약점에 대해 패치를 완료하였다.(MS17-010)
Windows 8/2012 에 대한 추가 대응을 위한 패턴이다.
원격의 인증되지 않은 공격자는 악의적인 SMBv1 메시지를 서버에 보냄으로 공격할 수 있다.
공격 성공 시, 원격 코드 실행이 가능하다.

► EternalRocks Worm 악성코드

NSA 공개된 해킹툴을 이용하여 악성행위를 수행하는 EternalRocks Worm이 발견되었다.
해당 악성코드는 MS17-010가 패치되지 않은 공격 대상을 툴에서 제공하는 7가지 익스플로잇 툴을 사용하여 Windows PC를 감염시킨다
그리고 Tor 브라우저 다운 후 다크웹의 토르네트워크 C2 서버와 통신하고 24시간 동안 서버의 명령을 대기한다.
24시간 후에는 C2서버의 명령을 받아 SMB 익스플로잇을 다운로드 한 후, 추가로 445포트 스캔하여 공격 대상 탐색하고 감염시킨다.

 

 

- 관련 CVE
CVE-2017-0143(https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143)
CVE-2017-0144(https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144)
CVE-2017-0145(https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0145)
CVE-2017-0146(https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0146)
CVE-2017-0147(https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0147)
CVE-2017-0148(https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0148)

 

- 취약시스템
Microsoft Windows XP
Microsoft Windows 2003
Microsoft Windows Vista
Microsoft Windows 7
Microsoft Windows 8
Microsoft Windows 2008
Microsoft Windows 2008 R2
microsoft:server_message_block:1.0

 

 

- 공격영향
임의의 코드 실행

 

 

- 해결방안
1)벤더사의 권고사항을 참조하여 최신버전으로 업데이트한다.
 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
2) 네트워크 방화벽 및 윈도우 방화벽에서 SMB 관련 포트 차단
 - SMB 관련 포트 : 137(UDP), 138(UDP), 139(TCP), 445(TCP)
3) 최신의 백신상태로 유지하며, 백신의 실시간 감지모드를 이용하여 악성코드의 실행을 차단한다.
4) OS를 최신의 버전으로 업데이트한다.
5) SMB를 사용하지 않는 경우 방화벽에서 포트를 차단한다.

 

 

- 참조

https://github.com/stamparm/EternalRocks/
http://thehackernews.com/2017/05/smb-windows-hacking-tools.html
https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/
https://www.exploit-db.com/exploits/42030/
https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010
https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse

첨부파일 첨부파일이 없습니다.
태그   ETERNALROCKS  SMB Wrom  EternalRomance