脆弱な MS-SQL サーバーをターゲットに拡散している CoinMiner

ASEC 分析チームは、脆弱な MS-SQL サーバーをターゲットに拡散するマルウェアを継続的にモニタリングしている。過去ブログでは CobaltStrike や Remcos RAT が配布される事例を取り上げたが、実際に確認されている攻撃の大多数は CoinMiner マルウェアである。

– [ASEC ブログ] 脆弱な MS-SQL サーバーをターゲットに拡散している CobaltStrike
– [ASEC ブログ] 脆弱な MS-SQL サーバーをターゲットに拡散している CobaltStrike (2)

ここでは、去年から最近まで配布が絶えず続いており、かつ同時に高い割合を占めている特定タイプの CoinMiner マルウェアについて取り上げる。当社 ASD インフラによると、この CoinMiner マルウェアがインストールされたシステムにおいて Vollgar CoinMiner の検知ログが同時に確認されるケースが多数確認されている。Vollgar は脆弱なアカウント情報を持つ MS-SQL サーバーへの総当たり攻撃によってインストールされる代表的な CoinMiner マルウェアであり、それによってこの Miner も同じ方法が使用されるものと推定される。

正確な攻撃手法および使用されたコマンドは確認できないが、ファイル生成および実行等の収集されたログによると、攻撃者はまず MS-SQL データフォルダー(ex：%ProgramFiles%\microsoft sql server\mssql13.mssqlserver\mssql\data)に sqlbase フォルダーを生成し、当該パスに SqlBase.exe という名前のマルウェアを生成していた。すなわち、MS-SQL サーバープロセスである sqlservr.exe プロセスによって当該パスにマルウェアが生成および実行されている。

SqlBase.exe は以下の通り .NET で開発されたシンプルな形式のダウンローダーマルウェアであり、C&C サーバーから設定データおよび CoinMiner をダウンロードしてインストールする機能を実行する。

設定データは以下のアドレスからダウンロードするが、Base64 および AES で暗号化されているため、復号化するプロセスが必要である。

• 設定データダウンロードアドレス : hxxp://dl.love-network[.]cc/config.txt

復号化されたデータは XML フォーマットで、バージョン情報と XMRig CoinMiner 実行時に使用する引数を含んでいる。

以降、以下のアドレスから VMP でパックされた XMRig マルウェアをダウンロードする。data.mdf ファイルは zip フォーマットの圧縮ファイルであり、内部に XMRig CoinMiner が含まれている。sqlbase.exe は XMRig を同じパスに sqlconn.exe という名前で解凍する。

• XMRig ダウンロードアドレス : hxxp://dl.love-network[.]cc/data.mdf

参考に、攻撃者が偽装した圧縮ファイル data.mdf は mdf の拡張子を持っているが、これは MS-SQL で使用するデータファイル(Primary Data File)である。実際の MS-SQL データフォルダーである「%ProgramFiles%\microsoft sql server\mssql13.mssqlserver\mssql\data\」を見ると、多数の mdf および ldf(Log File)ファイル等、MS-SQL の関連データファイルを確認することができる。

ここまでのプロセスが終了すると、XMRig ファイルに隠し属性およびシステム属性を付与したあと、上記で取得した設定データの引数項目、すなわちマイニングプールのアドレスおよびユーザーアカウント情報とともに XMRig を実行し、感染させたシステムでマイニングを実行する。

MS-SQL サーバーをターゲットとする攻撃の代表例としては、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。一般的にこれらの方法が攻撃の大半を占めているように見えるが、これ以外にも脆弱性に対するパッチが適用されていないシステムへの脆弱性攻撃が発生する可能性がある。

そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならず、セキュリティパッチを最新にして脆弱性攻撃を防止しなければならない。また、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。

以下は攻撃者がインストールする最初のマルウェアである SqlBase.exe ファイルが生成されたパスで、これによって攻撃対象となった MS-SQL システムを確認することができる。

%ProgramFiles%\microsoft sql server\mssql13.mssqlserver\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql12.sqlexpress\mssql\data\sqlbase\sqlbase.exe

%ProgramFiles%\microsoft sql server\mssql10_50.d*****20\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql10_50.d*****016\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql10_50.i***e\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql10_50.i*****20\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql14.d*****e\mssql\data\sqlbase\sqlbase.exe

%ProgramFiles% (x86)\microsoft sql server\mssql10_50.o—em\mssql\data\sqlbase\sqlbase.exe

MS-SQL は特定の目的のために直接インストールして使用するケースもあるが、データベース管理システムを必要とする他のプログラムによって同時にインストールされるケースも存在する。上記ログを見ると、一般的な MS SQL Server のパス以外にも ERP および業務用ソリューションによりインストールされた MS-SQL も攻撃対象となっているものと推定される。

すなわち、MS-SQL を直接インストールして運用する事例以外にも、他の業務用プログラムによってインストールされた MS-SQL も攻撃事例となる可能性があるため、ユーザーはセキュリティパッチおよびアカウント管理に注意を払わなければならない。

AhnLab 製品では、これらのマルウェアを以下の通り検知している。

[ファイル検知]
– CoinMiner/Win.Agent.C4420300 (2021.04.24.00)
– CoinMiner/Win.LoveMiner.R472804 (2022.02.16.01)
– CoinMiner/Win.XMRig.R424798 (2021.08.07.00)

[IOC]
MD5
– SqlBase.exe : fe3659119e683e1aa07b2346c1f215af
– sqlconn.exe : b11d7ac5740401541bc1be33dd475e00

XMRig Mining Pool
– serv1.love-network[.]cc:2082

Download
– hxxp://dl.love-network[.]cc/config.txt
– hxxp://dl.love-network[.]cc/data.mdf

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。