보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
침해사고의 재구성 Gotthard Base : Part1 사건편
2020.12.02
7,414
01. 개요
정보보안전문업체 OO사 침해사고 분석팀 김보안 씨는 평소와 같이 업무에 매진 중이었다.
평소와 같은 하루를 보내던 중 한 통의 전화를 받게 된다. 내용은 소프트웨어 개발회사 △△소프트웨어에서 내부 PC들이 악성코드에 감염되었으며, 원인을 찾을 수 없어 침해사고 분석을 요청하는 전화였다.
△△소프트웨어 홍길동 씨의 말에 의하면 2020년 11월 3일 오전 10시 30분을 기준으로 사내 직원들의 문의 전화가 오기 시작했으며, 문의 내용으로 “PC 바탕화면이 이상하다.”, “PC를 재부팅하면 켜지지 않는다.”, “정상적으로 동작하지 않는다.”와 같이 악성코드에 감염이 의심되는 문의 전화를 받게 되었다고 한다.
김보안 씨는 피해가 발생한 시스템에 대한 정보와, 악성코드 감염 의심 사유 등 침해 사고로 판단할 수 있는 기본정보들을 문서로 작성하여 메일로 보내줄 것을 요청한 후, 사고 분석을 위해 △△소프트웨어에 투입 된다.
[그림 1] 이글루시큐리티 보안분석팀 침해사고 대응 프로세스
02. 사고탐지 및 식별
1) 침해사고 기본정보 요청서
△△소프트웨어 홍길동 씨에게 전달받은 정보는 다음과 같다. 내부 직원 업무용 PC가 정상 부팅이 불가능한 증상과 특정 인원들만 해당 증상이 발견된 것으로 확인 되었다.
[그림 2] 전달받은 침해사고 기본정보 요청서
2) 담당자 인터뷰
김보안 씨는 악성코드에 감염된 PC를 확인한 결과 랜섬웨어 악성코드에 감염된 사실을 확인하게 되었으며, 모든 직원의 PC가 악성코드에 감염된 것이 아닌 특정 인원들만 악성코드에 감염된 사실을 알게 되었다.
[그림 3] 악성코드에 감염된 사용자 PC 화면
악성코드에 감염된 사용자들은 ‘OfficeGroup’에 포함된 인원들로 확인 되었으며, 해당 인원들은 평소와 같이 내부 소프트웨어 배포 방식에 포함된 ‘patch.exe’파일을 실행한 것으로 확인되었다.
[그림 4] OfficeGroup 사용자 목록
3) 네트워크 정보
△△소프트웨어의 네트워크 구성은 각각 Server Farm 영역, DMZ 영역, Office 영역으로 내부 3개의 망을 분리하여 사용 중인 것으로 확인되었다. 주요 서비스로 시스템 관리의 효율성을 높이기 위해 AD(Active Directory) 서비스를 사용하고 있으며, Domain Controller 서버는 Server Farm 영역에 존재한다. 또한 재택근무 개발자들을 위한 git 서버를 운영 중이며 서버는 DMZ 영역에 존재하고 있다.
[그림 5] 네트워크 구성도
[표 1] 주요 시스템 정보
4) 보안시스템 현황
확인된 방화벽 정책으로는 masquerading 방식을 사용하고 있으며, 외부에서의 접근은 HTTP, HTTPS 서비스만 허용하고 해당 서비스는 DMZ 영역의 git 서버로 포워딩하여 사용하고 있다.
[표 2] 방화벽 외부 허용 정책
5) 분석범위 산정
김보안 씨는 인터뷰를 통해 확인된 내용을 바탕으로 분석대상과 범위를 결정하였다.
위와 같은 추론을 통해 김보안 씨는 git서버와 DC서버를 중점적으로 분석하였다.
[그림 6] 분석 대상과 범위 산정
6) Domain Controller Server
DC 서버의 비활성 데이터 및 활성데이터를 수집하여 분석하여 다음과 같은 증거들을 확인하였다.
[그림 7] $LogFile 파일 정보
[그림 8] Window Event 로그 (security)
[그림 9] Window Event 로그 (RemoteDesktopService)
7) git Server
git 서버의 비활성 데이터 및 활성데이터를 수집하여 분석하여 다음과 같은 증거들을 확인하였다. 해당 정보는 서버의 weblog중 access로그 기록 일부이다.
[그림 10] apache access 로그 파일 내용
해당 정보는 $MFT(Master File Table) 내 기록된 공격에 사용된 것으로 의심되는 파일기록이다.
[그림 11] $MFT(Master File Table) 정보
해당 파일을 확인 결과 system함수를 사용한 webshell 파일로 확인되었다.
[그림 12] exploit.php 파일 내용
네트워크 연결정보와 프로세스 구동 내역을 확인해본 결과 다음과 같이 확인할 수 있다. 해당 정보들은 휘발성 데이터를 수집한 내용이다.
[그림 13] 네트워크 연결 상태
[그림 14] 프로세스 목록
[그림 15] Window Event 로그 (Security)
수집된 휘발성 데이터와 비휘발성 데이터를 분석해본 결과 김보안 씨는 사내PC일부에 악성코드(랜섬웨어)가 유포된 근본적인 원인과, 외부에 연결지점이 없는 내부시스템에 공격자가 침투했었던 방식에 대해서 확인할 수 있었다.
03. 문제
김보안씨가 수집 및 분석한 정보에서 공격자의 침해증거를 확인한 내용을 통해 다음 질문에 답을해보세요.
※ 해답은 12월 월간보안동향 <침해사고의 재구성_Gotthard Base : Part2. 해결편>에서 계속됩니다.