2020년 12월 파이어아이는 UNC2452라고 명명 후 지속해 추적 중인 공격자의 침해 캠페인을 공개했습니다. 맨디언트는 추적과 분석을 통해 이 공격자가 온프레미스 환경에 접근 후 Microsoft 365에 대한 접근 권한까지 얻는 것을 확인했습니다. 네, 온프레미스 네트워크를 첫 공격 목표로 잡은 후 클라우드 서비스까지 침해한 것입니다.

내부 네트워크 침투 후 클라우드까지 이동한 케이스

UNC2452의 침해 활동은 가벼이 여길 것이 아닙니다. 클라우드 이용에 관심이 있는 조직이라면 새로운 내부 이동 패턴에 주목해야 합니다. 보통 초기 침투 후 내부 이동을 하는 경우 주로 사내 네트워크 환경에서 행위가 이루어집니다. 반면에 UNC2452의 침해는 내부 네트워크에 접근한 후 권한을 획득하고, 이를 이용해 클라우드 서비스까지 침해하는 이동 경로를 보여 줍니다. ​내부 이동에 있어 기업이 주의해야 할 패턴이라 판단하여 맨디언트는 적절한 방어 전략을 안내하기 위해 백서(Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452)를 발표했습니다. 더불어 맨디언트는 UNC2452 침해 관련해 감사를 수행하는 데 필요한 스크립트인 'Azure AD Investigator'를 깃허브 페이지에 올려놓았습니다. Microsoft 365를 이용 중이라면 감사 스크립트를 한번 돌려 보는 것을 권장합니다.

UNC2452가 사용한 전술, 기술, 절차(TTP)

맨디언트는 UNC2452가 다음과 같은 네 가지 기본 기술을 조합하여 침해 기업의 내부 네트워크에서 Microsoft 365 클라우드 서비스로 이동하는 것을 관찰하였습니다.

1. AD FS(Active Directory Federation Services) 토큰 서명 인증서를 탈취해 임의 사용자에 대한 토큰을 위조합니다. 이를 Golden SAML 기법이라 하는데, 자세한 내용은 백서를 참조 바랍니다. 이런 식의 접근을 통해 공격자는 사용자의 암호나 다중 인증(MFA: Multi Factor Authentication) 메커니즘을 거치지 않고도 Microsoft 365와 같이 페더레이트된 리소스 제공자에 인증을 통과할 수 있습니다.
2. Azure AD에서 신뢰할 수 있는 도메인을 수정하거나 추가하여 공격자가 제어하는 새로운 IdP(Identity Provider)를 추가합니다. 이런 식으로 공격자는 임의 사용자에 대한 토큰을 위조할 수 있으며, 이를 통해 Azure AD 백도어를 만듭니다. 이를 통해 온프레미스에서 클라우드로 수직 이동할 수 있는 길을 틉니다.
3. Microsoft 365 계정과 동기화된 글로벌 관리자, 애플리케이션 관리자 같은 높은 권한이 있는 사용자의 자격 증명을 침해합니다.
4. 기존 Microsoft 365에 새로운 애플리케이션 서비스 자격 증명을 추가합니다. 이를 통해 Azure AD 권한 상승을 합니다. 이 방법에 대한 기술적 상세 내용을 잘 정리한 블로그가 있으니, 관심 있는 분은 해당 글을 참조 바랍니다.

이상으로 UNC2452 캠페인 관련 주요 내용을 알아보았습니다. UNC2452의 TTP 그리고 침해를 완화하는 방안에 대한 상세 내용은 백서를 참조 바랍니다. 참고로 다음 표를 통해 FireEye Helix가 UNC2452 침해를 어떤 로직 하에 탐지했는지 그리고 이들 얼럿은 MITRE가 정의한 공격 기술 중 어떤 항목과 관련이 있는지를 알 수 있습니다.