본문내용 바로가기 메인메뉴 바로가기

하단내용 바로가기

최신동향

WebLogic Server 취약점을 악용한 ‘sodinokibi’ 랜섬웨어 발견2019.05.03
WebLogic Server 취약점을 악용한 ‘sodinokibi’랜섬웨어 발견

▶ 보안업체 Cisco Talos社에서 Weblogic의 최근 공개된 취약점을 악용한 ‘sodinokibi’ 랜섬웨어를 발견했다고 블로그에 게시

    
주요 내용

▶ 19년 4월, 보안업체 Cisco Talos社에서 Oracle Weblogic의 최근 공개된 취약점(CVE-2019-2725)을 악용한 ‘Sodinokibi’ 랜섬웨어를
    발견했음을 블로그에 게시
  - Sodinokibi 랜섬웨어가 실행되면, 사용자 디렉터리의 데이터를 암호화하고, 섀도 복사본 백업을 삭제하여 데이터 복구를 더 어렵게 만듦
   * WebLogic : Oracle社의 Java EE기반의 웹 애플리케이션 서버
   * CVE-2019-2725 : WebLogic Server에서 안전하지 않은 역직렬화로 인해 발생하는 인증 우회 및 원격코드 실행 취약점으로 2019.04.26
      패치 된 상태 (영향 받는 버전 : 10.3.6.0, 12.1.3.0)

그림1 _ Sodinokibi 랜섬웨어 감염 파일
190503_1
출처: bleepingcomputer (4.30)

▶ 파일 암호화 시 감염된 시스템마다 고유한 임의 확장자를 사용하며, 고유 키와 지불 사이트 링크 정보가 담긴 [확장자명]-HOW-TO-
    DECRYPT.txt형식의 랜섬 노트가 생성됨
 
그림2 _ Sodinokibi 랜섬 노트
190503_2
출처: bleepingcomputer (4.30)

▶ 공격자가 이미 ‘Sodinokibi’ 랜섬웨어에 감염된 피해 시스템을 대상으로 Gandcrab v5.2 랜섬웨어를 추가로 배포하는 특이점이 확인됨

▶ Cisco Talos는 대응을 위해 웹, 응용 프로그램 이벤트 로깅 및 중앙 수집, WebLogic 프로세스를 실행하는데 사용되는 계정의 액세스 제한,
    방어 및 모니터링을 위해 네트워크 세분화 등 방법들을 제시


시사점

▶ 취약한 버전을 사용하는 WebLogic 서버 관리자들은 오라클社 홈페이지의 Patch Availability Document를 참고하여 최신 버전으로
    업데이트 적용 권고

[출처]
  - BleepingComputer, “Sodinokibi Ransomware Being Installed on Exploited WebLogic Servers”, 2019. 4. 30.
    (https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-being-installed-on-exploited-weblogic-servers/)
  - Scmagazineuk, “Attackers now exploiting critical Oracle WebLogic flaw to install new ‘Sodinokibi’ ransomware”, 2019. 5. 1.
    (https://www.computing.co.uk/ctg/news/3074941/attackers-exploit-critical-oracle-weblogic-flaw-to-install-new-sodinokibi-ransomware)

작성 : 침해사고분석단 사고분석팀
키워드 weblogic , 랜섬웨어 , 취약점