최근 사이버 공격은 단일 취약점을 악용하는 단편적인 방식에서 벗어나, 여러 기술을 연계해 단계적으로 침투하고 권한을 확대하는 방향으로 진화하고 있습니다. 따라서 세 번째 T9 Project에서는 단일 취약점 공격뿐 아니라, 공격 간 상호 연계를 통해 이전 T9 Data보다 실제 침해사고 수준의 체인을 구성한 복합 공격도 포함하여, 더욱 현실적인 공격 연구와 탐지 실험에 활용할 수 있도록 아래 표1과 같이 T9 Data를 구성하였습니다.
표 1. T9 Project 2025년도 공격 목록 (2025)
T9 ATTACK
[단일 공격 시나리오 소개]
먼저, 표 1에서 1번부터 6번은 단일 취약점을 기반으로 한 공격 시나리오들로, 특정 취약점 또는 단일 도구 1개로만 공격이 전개되며, 단순하지만, 공격 체인 구성의 기본 요소로써 활용될 수 있는 시나리오들입니다.
(첫 번째 시나리오)는 pfSense는 [그림 1]과 같이 오픈 소스 방화벽의 취약점을 이용한 공격으로 네트워크 장비를 대상으로 공격했다는 점에서 위험성이 크다고 할 수 있습니다. 공격의 예시를 설명 드리면 공격자는 먼저 ① 취약점을 가지고 있는 서버(타겟)을 찾고 ② 악성 스크립트를 심어 스크립트가 저장되는 점을 이용해 ③ 취약점이 발생 되고 이후 ④ 페이지를 로드한 사용자가 의도치 않게 악성 스크립트를 실행하는 Stored XSS 공격을 구현하였습니다. 이는 관리자 세션 탈취나 임의 요청 전송 등으로 이어질 수 있어 웹 기반 관리 시스템의 취약점을 이용한 공격 시나리오입니다.
그림 1 T1-25-01-S-N-CD (CVE-2024-46538) 공격 시나리오
(두 번째 시나리오)는 자주 악용된 웹서버 대상의 Apache Struts2 원격 코드 실행(RCE) 취약점 공격입니다. 단순한 입력 검증 취약점을 통해 웹쉘이나 백도어를 심을 수 있고, 이를 통해 서버 전체 권한을 획득할 수 있는 강력한 공격 시나리오입니다.
(세 번째 시나리오)는 Apache OFBiz 인증 우회 취약점입니다. ERP 성격의 OFBiz 시스템은 주문, 재무, 고객 정보 등 민감한 데이터를 다루고 있어 기업의 핵심 업무 시스템을 공격자가 직접적으로 공격할 수 있는 특징이 있습니다. 공격 방법은 인증 과정 자체를 우회함으로써 관리자 권한에 준하는 접근을 수행할 수 있는 심각한 취약점으로, 실제 시스템 침해사고에서도 빈번히 활용되고 있습니다.
(네 번째 시나리오)는 로컬 시스템 내부에서 자격 증명을 수집하는 LaZagne 도구 기반 패스워드 검색 공격을 선정하였습니다. 초기 시스템 침투 이후 내부 확장을 위해 계정 정보를 수집하는 단계로 사용되며, LaZagne는 브라우저, 메일 클라이언트, 윈도우 자격 증명 저장소 등에 저장된 계정과 패스워드를 자동으로 추출할 수 있어, 공격자가 단시간에 다수의 계정을 확보할 수 있는 공격 시나리오입니다.
(다섯 번째 시나리오)는 [그림 2]와 같이 최근 가장 위협적인 공격 방식으로 문서 파일을 악용한 MS Office(docx) 기반 확장 파일 공격입니다. 먼저 동작을 살펴보면 공격자는 ① 타겟에 맞는 또는 불특정 다수를 노리기 위한 문서 파일을 만들고 ② 정상적인 업무 문서처럼 보이는 파일을 이메일이나 메신저로 전달해 사용자의 실행을 유도합니다. ③ 문서를 열게되면 공격자의 서버로부터 DOTM Template을 통해 Request 요청이 오고 ④ 공격자서버는 응답을 통해 VBA Macro를 전송하여 ⑤ 매크로가 실행 될 수 있도록 유도합니다. ⑥ 문서 파일로부터 실행된 매크로를 통해 악성코드 다운로드를 요청하게 되고 ⑦ 서버로부터 악성코드가 다운로드 됩니다. ⑧ 이후 악성코드가 실행 되어 감염이 되도록 합니다. 공격자의 기술(공격코드)뿐 아니라 사용자의 신뢰를 직접적으로 이용하기 때문에 현재까지도 매우 높은 성공률로 공격이 이루어지고 있습니다.
그림 2 T5-25-01-S-E-CL (MS Office(.docx) External File Download) 공격 시나리오
(여섯 번째 시나리오)는 2024년 가장 많이 발생 된 랜섬웨어 중 하나인 Play 랜섬웨어 시나리오를 포함하였습니다. 다른 랜섬웨어와 동일하게 사전에 충분한 내부 정보와 권한을 확보한 뒤, 핵심 서버와 중요 데이터를 선별적으로 암호화하고 데이터의 외부 유출을 빌미로 이중 갈취 전략을 사용함으로써, 피해 조직의 업무 방해 및 서비스 마비뿐만 아니라 몸값을 지불하도록 하는 최악의 랜섬웨어 공격입니다.
[복합 공격 시나리오 소개]
복합 공격으로 구성한 시나리오는 기존 단일 취약점을 넘어 실제 침해사고와 유사한 복합 공격 체인을 여러 개 구성하였습니다. 이러한 시나리오는 단일 공격보다 현실성과 재현성이 높기 때문에 복합 공격 시나리오 데이터는 학습데이터 즉, 탐지 데이터로 매우 중요하다고 할 수 있습니다.
(첫 번째 복합 시나리오)는 [그림 3]과 같이 MS Office 문서(확장 다운로드)와 Play 랜섬웨어 공격을 결합한 사례를 기반으로 시나리오를 구성하였습니다. 실제 많이 발생되는 공격 사례로써 동작 방법은 ①~⑤ 까지는 다섯 번째 단일 공격 시나리오와 동일하게 동작하고, 다른점은 악성코드가 아닌 랜섬웨어를 다운로드 시키고 랜섬웨어가 실행되어 2차 더나아가 3차 피해를 끼칠 수 있는 시나리오를 구성하였습니다. 해당 시나리오는 실제 사이버 위협 사례나 기업들이 자주 당하는 시나리오로써, 단순하지만 공격자들이 자주 활용하는 사회 공학적 기법, 그리고 기업 및 기관에 큰 피해를 끼치기 위한 시나리오로 구성하였습니다.
그림 3 첫 번째 복합 공격 시나리오 (일곱 번째 공격)
(두 번째 복합 시나리오)는 Apache Struts2 원격 코드 실행 취약점과 LaZagne 패스워드 검색을 결합한 공격입니다. 공격자는 먼저 Apache Struts2 원격 코드 실행 취약점을 악용해 서버에 접근하고, 이후 내부 계정 정보를 수집 할 수 있는 LaZagne 도구를 활용해 관리자 권한을 습득하고 추가적인 권한 상승이나 내부 네트워크에 연결된 기기에 접근할 수 있습니다.
(마지막 복합 시나리오)는 Apache OFBiz 인증 우회 취약점과 su-bruteforce를 결합한 시나리오입니다. 공격자는 이전 복합공격과 마찬가지로 인증 절차를 우회하여 내부로 침투 한 후, 내부 관리자(사용자) 계정에 대한 무차별 대입 공격을 수행하는 공격 시나리오입니다. 실제 사고에서도 “외부 공격 → 내부 인증 탈취 → 권한 상승” 구조로 이어지는 패턴이 자주 확인되는 만큼, 실제 사이버 위협 탐지 또는 이상행위 분석에 활용하기 좋은 공격 시나리오라고 할 수 있습니다.
T9 Project의 홈페이지(https://t9project.dev/)에 접속하시면 T9 Detect에 대한 더욱 자세한 설명을 확인할 수 있습니다. |
T9 DETECT
[사이버 위협 탐지 모델 설계]
T9 Project는 AI 기반 네트워크 탐지 기술인 Detect 모델을 `26년 상반기에 공개하기 위해 열심히 준비 중입니다. Detect는 패킷, 플로우, 세션 전반의 트래픽 데이터를 분석하여, 알려진 위협은 물론 아직 정의되지 않은 이상 행위까지 식별할 수 있도록 설계되고 있습니다. 변화하는 공격 양상을 학습하고 적응하는 탐지 방식을 통해, 기존 보안 체계가 놓치기 쉬운 위협을 보다 정밀하게 탐지하는 것을 목표로 합니다.
또한, 그뿐만 아니라 AI 탐지의 한계로 지적되어 온 판단 과정의 신뢰성을 보장하기 위해, T9 Project는 설명 가능한 AI(XAI) 기술을 적용한 모델을 구현하고 있습니다. XAI는 탐지 결과에 영향을 미친 주요 특징, 페이로드 특성, 행위 기반 단서를 분석가에게 명확히 제시하여, 탐지 결과의 근거를 직관적으로 이해할 수 있도록 지원할 예정입니다. 곧 선보일 Detect와 XAI는 단순한 위협 알림을 넘어, 정확성·해석 가능성·신뢰성을 모두 갖춘 탐지 경험을 제공하는 것을 목표로 하고 있으니 많은 관심 부탁드립니다.
그림 5 T9 Detect 개념도 및 도식화
T9 Project의 홈페이지(https://t9project.dev/)에 접속하시면 T9 Detect에 대한 더욱 자세한 설명을 확인할 수 있습니다. |
참고자료
[1] https://nvd.nist.gov/vuln/detail/cve-2024-46538
[2] SK Shieldus [Research & Technique] pfSense XSS Vulnerabilities (CVE-2024-46538)
[3] https://github.com/EQSTLab/CVE-2024-46538
[4] https://nvd.nist.gov/vuln/detail/cve-2023-50164
[5] https://www.vicarius.io/vsociety/posts/apache-struts-rce-cve-2023-50164-poc-exploit
[6] https://github.com/jakabakos/CVE-2023-50164-Apache-Struts-RCE
[7] https://www.trendmicro.com/en_us/research/23/l/decoding-cve-2023-50164–unveiling-the-apache-struts-file-upload.html
[8] https://nvd.nist.gov/vuln/detail/cve-2024-38856
[9] SecureLayer7 [CVE-2024-38856 – Apache Ofbiz RCE]
[10] Zscaler Blog [CVE-2024-38856: Pre-Auth RCE Vulnerability in Apache OFBiz]
[11] https://attack.mitre.org/software/S0349/
[12] https://github.com/AlessandroZ/LaZagne
[13] https://www.menlosecurity.com/blog/template-injection-attacks-part-3-following-the-bread-crumbs-to-north-korea
[14] https://www.virustotal.com/gui/file/07cbbcfae46c72a98b733b67649747b2ee05ec2b445f32ec4e8239f5617aa6c6
[15] https://attack.mitre.org/software/S1162/
[16] https://www.virustotal.com/gui/file/006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 악성코드 분석 프로그램 및 연구를 수행하고 있다.
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 악성코드 분석 프로그램 및 연구를 수행하고 있다.