Play 랜섬웨어, Microsoft Exchange의 ProxyNotShell 취약점 완화 방안을 우회하는 새로운 Exploit Chain 사용

□ 개요

Play 랜섬웨어 그룹은 지난 10월에 MS에서 공개했던 ProxyNotShell URL Rewrite 완화 방안을 우회하는 새로운 Exploit Chain(OWASSRF라고 명명)을 사용하여 Exchange 서버를 공격하는 것으로 확인되었다.

 

Play 랜섬웨어는 2022년 6월 처음 발견되었으며, 독일 H-Hotels, 벨기에 Antwerp, 아르헨티나 코르도바 사법부 등이 Play 랜섬웨어에 감염되었다.

 

□ ProxyNotShell 패치를 우회하는 OWASSRF

CrowdStrike는 공격 벡터가 Microsoft Exchange ProxyNotShell 취약점(CVE-2022-41040 및 CVE-2022-41082)으로 의심되는 Play 랜섬웨어 공격을 조사하였으나, CVE-2022-41040을 악용한 정황을 발견하지 못했다. 대신 공격이 OWA(Outlook Web Application) 엔드포인트를 통해 성공하였으며, 이전에 공개되지 않은 새로운 Exploit(OWASSRF)임을 확인하였다.

[그림 1] OWASSRF PoC 익스플로잇

 

첫 번째 단계에서 ProxyNotShell은 CVE-2022-41040을 악용하지만, OWASSRF는 CVE-2022-41080을 악용한다. 공격자는 PowerShell 원격 서비스에 접근하여 CVE-2022-41040을 사용할 때와 동일한 방식으로 CVE-2022-41082 취약점을 이용할 수 있다. 최종적으로 CVE-2022-41082 취약점이 트리거 되면 공격자는 Microsoft Exchange Server에서 원격코드 실행이 가능하다.

[그림 2] ProxyNotShell과 새로운 OWASSRF 익스플로잇 방법의 차이점

 

Play 랜섬웨어 그룹은 OWASSRF 공격 방법을 통해 초기 액세스에 성공한 후, Plink 및 Anydesk를 이용해 접근을 유지하고, 추적을 피하기 위해 Microsoft Exchange 서버에서 안티포렌식 기술(Windows 이벤트 로그 삭제)을 사용했다.

 

□ 온라인에 공개된 OWASSRF PoC

CrowdStrike 보안 연구원이 Play 랜섬웨어 공격에 사용된 코드를 재현하기 위해 PoC 코드를 개발하던 중, Huntress Labs 연구원 Dray Agha가 공격자의 도구를 발견하고 공개 저장소를 통해 MegaUpload 링크를 공유했다.

[그림 3] Dray Agha 트위터(좌), 공개된 Play 랜섬웨어 그룹 공격 도구(우)

 

□ 영향을 받는 제품

• Exchange Server 2013
• Exchange Server 2016
• Exchange Server 2019

 

□ 대응 방안

- ProxyNotShell에 대한 URL 재작성 완화가 이 악용 방법에 대해 효과적이지 않기 때문에 조직은 Exploit을 방지하기 위해 Exchange 용 2022년 11월 8일 패치를 적용해야 한다.

- KB5019758 패치를 즉시 적용할 수 없는 경우 패치를 적용할 수 있을 때까지 OWA를 비활성화해야 한다.

- 조직의 특성을 고려하여 원격 PowerShell을 사용하지 않으면 비활성화한다.

- EDR 솔루션을 도입하여 PowerShell 또는 명령줄 프로세스를 생성하는 웹 서비스를 감지한다.

- WAF와 같은 애플리케이션 수준의 보안 제어를 고려해야 한다.

- X-Forwarded-For 헤더가 프록시 서비스에 대한 요청을 위해 실제 외부 IP 주소를 기록하도록 구성되어 있는지 확인해야 한다.

- CrowdStrike Services에서 개발한 스크립트를 사용하여 IIS 및 원격 PowerShell 로그에서 볼 수 있는 익스플로잇 징후가 있는지 Exchange 서버를 모니터링한다.

 

※ 스크립트 사용 방법

▼Command powershell .\Rps_Http-IOC.ps1 [Path to Directory With RPS_HTTP Logs] ▼Example powershell .\Rps_Http-IOC.ps1 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\CmdletInfra\Powershell-Proxy\Http'

 

※ 파워쉘 스크립트 실행 정책으로 인해 실행이 안될 경우 아래와 같은 명령으로 실행

powershell -executionpolicy bypass -file Rps_Http-IOC.ps1 [Path to Directory With RPS_HTTP Logs]

 

 

□ 참고 자료

[1] OWASSRF: CrowdStrike Identifies New Exploit Method for Exchange Bypassing ProxyNotShell Mitigations

https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/

[2] Ransomware gang uses new Microsoft Exchange exploit to breach servers

https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-new-microsoft-exchange-exploit-to-breach-servers/

[3] Dray Agha, OWASSRF PoC

https://twitter.com/Purp1eW0lf/status/1602989967776808961?s=20

보안관제센터 MIR Team