이슈
- 프록시로그온 및 프록시셸 익스플로잇
- 이 위협은 Microsoft Exchange Server 버전 2010, 2013, 2016 및 2019 사용자에게 영향을 미칩니다
- Hafnium
- ESET 보안 제품은 다음 위협을 탐지합니다
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
- Microsoft 보안 패치 설치
- ESET LiveGrid 활성화 유지
- 멀웨어 공격 위험 최소화
- 위라이브시큐리티 블로그 게시물
솔루션
프록시로그온 및 프록시셸 익스플로잇
ProxyLogon과 ProxyShell은 모두 Hanium 또는 BlackByte 랜섬웨어와 같은 여러 범죄 그룹에서 발견되어 사용되었습니다. 또한 두 가지 모두 손상된 교환 서버에서 악성 이메일을 보내는 비즈니스 이메일 손상(BEC)을 수행하는 데 사용되었습니다.
ESET 소프트웨어는 이 공격을 탐지할 수 있지만, 악용 위험을 방지하기 위해 모든 익스체인지 서버에 ProxyLogon 및 ProxyShell 패치를 적용해야 합니다.
프록시로그온 익스플로잇:
프록시셸 익스플로잇:
Microsoft 보안 패치
취약점을 악용하여 초기 액세스 권한을 얻은 후, 공격자(예: HAFNIUM)는 손상된 서버에 웹 셸을 배포합니다. 공격자는 웹 셸을 통해 데이터를 훔치고 추가적인 악의적인 작업을 수행하여 추가 감염을 일으킬 수 있습니다. 하프늄에 대한 자세한 기술 정보 및 공격 세부 정보를 참조하세요.
이 공격 체인에서 사용되는 웹 셸과 백도어에 대한 탐지는 다음과 같이 나타납니다:
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Microsoft Exchange 서버 원격 코드 실행 취약점은 다음과 같습니다:
자세히 보기 야생에서 발견되어 악용되는 Microsoft Exchange 취약점에 대해 자세히 알아보세요. ESET은 Microsoft 보안 업데이트를 즉시 설치할 것을 강력히 권장합니다.
최고 수준의 보안을 보장하기 위해 항상 최신 버전의 ESET 제품을 사용하는 것이 좋습니다: ESET 비즈니스 제품의 최신 버전 확인
ESET LiveGrid 활성화 유지
경우에 따라 ESET LiveGrid가 활성화된 ESET 제품이 모듈 업데이트보다 새로운 위협에 더 빠르게 대응할 수 있습니다.
ESET LiveGrid에 대해 자세히 알아보고 ESET 제품에서 활성화되어 있는지 확인하세요.
멀웨어 공격의 위험 최소화
멀웨어 공격의 위험을 최소화하려면 어떻게 해야 하나요?'
- 중요한 데이터 백업하기
- 기본 설정 변경하지 않기
- 보안 패치 다운로드
위라이브시큐리티 블로그 게시물
이 익스플로잇으로부터 시스템을 보호하는 방법에 대해 자세히 알아보려면 다음 ESET 블로그 게시물을 읽어보시기 바랍니다:
제로 데이 공격과 관련된 모든 ESET 보안 문서 목록을 보려면 제로 데이 공격을 참조하세요.
