악성코드 감염 시나리오(Ethernalblue)

 

Ethernalblue : 미 국가안보국 해킹 도구로 윈도우 환경에서 파일공유, 원격 윈도우 서비스 접근, 프린트 공유 등을 목적으로 하는 SMB 프로토콜의 원격 코드 실행 취약점을 이용

 

미션 소개

내부망에서 침해사고가 발생했으며 내부 침투에는 Eternalblue 공격이 특정되었다.

공격 패턴 특징 : '00 00 00 00 00 00 00 10'값을 전송

 

구성도

보안장비 - UTM, WAF

관리 - AdminConsole

업무 - User1, user2

DMZ - 파일서버, 웹 서버

 

시나리오

1. 악성코드 첨부 메일 발송

2. 악성코드 다운로드

3. 실행

4. 리버스 쉘

5. Ethernal blue 공격

 

• 공격자의 메일 주소는?

[메일 서버에서 확인]

악성코드 감염

• 악성코드가 통신한 IP는?

작업관리자에서 동작하는 파일명을 확인해서

cmd -> netstat -ano로 외부랑 통신하는 것 확인

• 공격자가 생성한 백도어 계정은?

시작 > lusrmgr.msc

로컬 사용자 및 그룹을 보면 다른 계정이 추가된 것을 확인

• Ethernalblue 공격 차단

[AdminConsole]

보호 도메인 정책으로 모든 객체를 설정

시그니처 설정 (이터널 블루의 특징인 content:'[00 00 00 00 00 00 00 10]'; )

• 악성코드가 통신한 IP 대역을 차단

방화벽 정책 설정

 악성ip에서 들어오는 모든 외부망 차단

 

참고

https://learn.microsoft.com/ko-kr/security-updates/securitybulletins/2017/ms17-010

https://rjswn0315.tistory.com/153

https://m.blog.naver.com/skinfosec2000/221216843232