[정보보안] - 사이버공격 (RDP 랜섬웨어/스피어 피싱 메일/Follina)
1. RDP를 악용한 랜섬웨어 사이버 공격
1) 해커는 다크웹을 통해 정보를 구매하거나 특정 조직을 타겟하여 RDP 취약점을 스캔한다.
2) RDP 취약점을통해 RDP 접속 후 내부 환경을 분석한다.
3) 네트워크 스캔을 통해 확산 공격을 시도하다.
4) 예를들면 Lateral Movement 공격으로 패스워드를 무작위로 조합 후 입력하여 주요 서버 계정을 탈취한다.
5) 기업 내 주요 서버를 RDP 연결을 통해 접속한다.
6) 서버에 설치된 보안프로그램들을 제거한다.
7) BitLocker를 실행하여 디스크를 암호화한다.
2. 스피어 피싱 메일을 통한 사이버 공격
스피어 피싱을 통한 공격방식은 사회공학적 기법이나 URL 링크를 통해 피싱 메일을 발송하게된다.
1) 공격자가 악성코드를 포함한 스피어 피싱 메일을 발신한다.
2) Unknown 악성코드가 포함된 스팸메일이나 암호 압축파일 등 스피어 피싱 메일이 스팸 차단 솔루션을 통과한다.
3) 일반적으로 사회공학기법을 이용해 사용자에게 피싱메일을 보낼 경우 사용자의 낮은 보안의식으로 피해가 발생한다.
4) 뿐만아니라 첨부파일이나 URL 접속 시 운영체제나 응용프로그램의 취약점에 의한 피해가 발생된다.
5) 스피어 피싱 메일은 메일 서버를 거쳐 엔드포인트에서 계정을 탈취하거나 기밀정보를 유출하여 금전적인 요구를 한다.
6) 이러한 정보는 고도화 된 공격에 활용되는데 침투 후 권한상승을 통해 중요시스템에 접근을 시도합니다.
7) 데이터를 유출하여 다크웹에 판매하거나 시스템 중단과 파괴 등을 통해 기업에 막대한 피해를 끼치기도 합니다.
8) 이러한 스피어 피싱 공격은 기본적으로 스팸차단솔루션을 우회할 수 있도록 공격을 설계합니다.
9) 보통 가짜 사이트를 이용한 워터링홀 공격을하거나 신뢰할 수 있는 기관이나 사이트를 사칭하여 스푸핑 공격을합니다.
10) 실행파일을 첨부하는 스피어 피싱 공격수법은 이미 많이 알려져있어 잘 사용되지 않는 공격입니다.
3. Microsoft Office 제로데이 취약점을 이용한 Follina
Follina는 Microsoft 사의 오피스 제로데이 취약점 CVE-2022-30109를 이용한 인젝션 공격이다.
1) Docx 포맷의 문서 파일로 위장하여 스피어피싱 메일을 발송한다.
2) 문서파일을 실행할 경우 msdt.exe 프로세스를 이용해 원격 프로세스를 실행한다.
3) Powershell.exe 혹은 CertUtil.exe를 이용하여 인젝션 공격을 수행한다.
4) micronannox.com/imei.omg 악성 URL을 접속 후 악성코드를 다운로드하고 실행한다.
5) 시스템의 데이터가 암호화된다.