마이크로소프트, 파이어아이, GoDaddy가 솔라윈즈(SolarWinds) 공급망 공격에 사용된 썬버스트 백도어에 대한 킬 스위치를 만들었다.

지난주 러시아 관련 해커가 솔라윈즈를 해킹했고, 공격자는 트로이목마화 된 솔라윈즈 오리온 비즈니스 소프트웨어 업데이트를 사용해 SUNBURST(마이크로소프트 측은 Solarigate로 명명)라는 백도어를 배포했다.

회사는 약 3만3천개 오리온 고객에게 해당 사건을 알렸으나 1만8천개 미만 고객들은 자사 제품의 백보드 버전을 사용했을 가능성이 있다고 주장했다.

마이크로소프트는 피해를 입은 사용자를 식별하고 다른 시스템에 악성 소프트웨어가 제공되는 것을 방지하기 위해, 다른 사이버 보안 업체들과 협력해 솔라윈즈 공격에 사용된 기본 도메인 avsvmcloud.com을 점유했다.

도메인 avsvmcloud.com은 솔라윈즈 오리온 앱의 변조된 업데이트를 통해 약 1만8천명 고객에게 제공된 백도어용 C2 서버로 사용되었다.

솔라윈즈 오리온 플러그인의 변조된 버전은 네트워크 트래픽을 Orion Improve-ment Program(OIP) 프로토콜로 가장한 것이며, HTTP를 통해 C2와 통신해 ‘Jobs’라고 불리는 악성 명령을 검색하고 실행한다. 백도어는 파일 전송 및 실행, 시스템 서비스 비활성화, 정보 수집을 포함한 여러 기능을 지원한다.

공격자는 사용자와 동일한 국가의 VPN 서버를 사용해 IP 주소를 난독화하고 탐지를 피했다. 파이어아이에 따르면 C2 서버가 다음 범위 중 하나의 IP 주소로 확인되면 백도어가 종료되고 다시 실행되지 않는다.

- 10.0.0.0/8

- 172.16.0.0/12

- 192.168.0.0/16

- 224.0.0.0/3

- fc00:: – fe00::

- fec0:: – ffc0::

- ff00:: – ff00::

- 20.140.0.0/15

- 96.31.172.0/24

- 131.228.12.0/22

- 144.86.226.0/24

이 정보를 통해 파이어아이와 마이크로소프트는 SUNBURST 백도어를 위한 킬 스위치를 만들 수 있었다.

GoDaddy는 avsvmcloud.com의 모든 서브 도메인을 20.140.0.1로 변환하는 와일드카드 DNS 변환기를 만들었으며, 해당 변환기는 마이크로소프트가 제어한다. 이 IP 주소는 멀웨어를 영구적으로 종료시키는 20.140.0.0/15 범위에 포함된다.

전문가들은 킬 스위치가 SUNBURST 감염을 종결시킬 뿐이지만 감염 시스템에서 위협 행위자가 드롭시킨 다른 페이로드는 계속 작동할 것이라고 주의를 당부했다.

★정보보안 대표 미디어 데일리시큐!★