One Day One Commit

2021.02.12.

Feb 12, 2021
3 minute read

7 Things We Know So Far About the SolarWinds Attacks (Dark Reading, Jai Vijayan, 2021.02.11.)

솔라윈즈 사건이 세상에 드러난 지도 어느덧 2개월이 다 되어간다. 해당 기사에서는 이번 사건에 대한 7가지 주요 내용들에 대한 설명이 담겨있다. 해당 내용들은 다음과 같다.

1. Initial Access Vector at SolarWinds Remains Unclear (공격자의 초기 접근 방식은 여전히 불분명하다)

알다시피, 이 사건이 솔라윈즈 사건이 된 이유는 공격에 사용된 악성코드가 솔라윈즈 사의 솔루션인 ‘오리온(Orion)’의 업데이트 파일에 삽입되어 해당 솔루션을 사용하는 수많은 기업, 기관들에게 유포된 것이 그 시작이었기 때문이다.

하지만 우리가 아는 것은 이정도일 뿐, 아직 공격자들이 어떻게 솔라윈즈의 공급망에 접근한 것인지는 명확하지 않다고 한다. 솔라윈즈 사는 공격자가 자사 직원의 권한을 탈취한 후 서드파티 앱의 제로데이 취약점을 통해 접근했을 것이라고 추정할 뿐이다.

2. The Adversaries Used More Than One Attack Vector (두 개 이상의 공격 방식을 사용)

솔라윈즈 사건에 사용된 공격 방식은 앞서 설명한 공급망 공격만 있는 것은 아니었다. 공격자들은 오리온을 사용하지 않는 곳에도 공격을 시도했다. 그들이 사용한 방식은 비밀번호 추측, 비밀번호 살포(Password-Spraying), 취약하게 설정된 관리자 권한 탈취 등 이었다. MalwareBytes 사가 이러한 방식으로 공격을 받았는데, 그들은 악성 이메일로 인해 공격자가 권한을 탈취하였다고 밝혔다.

3. The Malware Medley Used in the Attacks (공격에 사용된 악성코드들)

공격자들이 이번 공격에 사용한 악성코드는 Sunspot, Sunburst(Solorigate), Teardrop, Raindrop이라고 한다. Sunspot은 오리온 업데이트 파일에 Sunburst 파일을 삽입하는 기능을 하며, Sunburst는 악성 DLL 파일이다. Teardrop은 Sunburst를 통해 설치되며, Cobalt Strike 사의 공격 도구들을 설치한다. Raindrop은 분명 저번에 관련 소식을 다뤘던 기사에서는 Teardrop과 같은 악성코드라고 했던 것 같은데.. 해당 기사에서는 Teardrop과 같은 기능을 하지만, Sunburst를 통해 배포되지 않는다는 차이가 있다고 한다.

또한 최근 조사를 통해 ‘Supernova’라고 하는 새로운 악성코드가 발견되었다고 한다. 이 악성코드는 매우 정교한 백도어이며, 활성화 전까지는 완전히 모습을 감추게끔 설계되었다고 한다. 흥미로운 점은 이 악성코드는 솔라윈즈 사건을 일으킨 공격자들이 아닌, 다른 APT 그룹에 의해 배포되었다고 추정된다는 것이다.

4. A Who’s-Who List of Victims (피해자 목록)

해당 공격으로 인해 피해를 받은 기업, 기관의 수는 아직 정확히 집계되지 않았다. 솔라윈즈 사에 따르면, 악성 오리온 업데이트를 받은 곳은 전세계적으로 18,000여 곳이라고 한다. 하지만 해당 악성코드로 인해 실제로 피해가 발생한 곳은 그보다 훨씬 적다. Microsoft 사에 따르면, 오직 40곳만이 실질적인 피해를 받았다고 말하며 TruSec, Prevasio, Netresec 등에 따르면 실제 피해를 받은 곳은 10개 미만이라고 한다.

그 중 FireEye 사는 자사의 공격 도구가 탈취당했으며 Microsoft에서도 자사의 소스 코드 일부가 탈취되었다고 밝힌 바 있다.

5. The Mystery Threat Actor (정체 불명의 공격자)

공격자들의 정체 또한 여전히 불분명하다. 미국의 정보기관들은 사건 초기부터 줄곧 러시아가 배후에 있음을 주장해왔지만, FireEye, Microsoft 등은 그렇게 단정지을 수 없다고 말한다. 또한 Volexity 사는 이 공격에 사용된 방식이 ‘Dark Halo’라고 하는 해커 그룹의 것과 유사하다고 말했다.

그리고 아직 이들의 정체에 대해서 정확히 알지는 못하지만, 그들이 국가의 지원을 받아 활동한다는 점은 모두가 동의하였다.

6. High Level of Operational Security (높은 수준의 운영 보안)

공격자들은 공격의 성공률을 높이기 위해 상당한 노력을 기울였다. 아래는 그 노력의 결과물(?) 중 일부이다.

  • 악성코드 배포 후 2주간 휴면
  • 보안 소프트웨어를 탐지하여 실행하지 않거나 해당 시스템을 비활성화
  • 훔친 데이터를 DNS 트래픽에 숨기고, 정상 오리온 플랫폼 통신 프로토콜로 통신하는 것처럼 위장
  • Sunburst로 배포한 Cobalt Strike 사의 공격 도구가 탐지되더라도, Sunburst는 살아남게끔 설계 (Sunburst와 Teardrop의 관계를 뜻하는 듯)

7. The ‘Golden SAML’ Gambit

이 사건의 공격자는 Golden SAML이라는 기술을 사용하여 조직 내 모든 ADFS(Active Directory Federated Services)에 대한 접근 권한을 얻었다고 하는데, 이 사건이 해당 공격이 알려진 최초의 사례라고 한다.

이 공격은 2017년에 CyberArk 사에서 최초로 공개되었는데, 공격에 성공하면 조직 내 인증 체계를 완전히 우회할 수 있게 된다고 한다. 이 공격을 탐지하는 것은 매우 복잡하지만 Sygnia 사에서 관련 방법을 제시하였다.