Posted By eastston , 2023年 May 22日

MS-SQL サーバーの sqlps.exe ユーティリティを悪用した Remcos RAT の拡散

AhnLab Security Emergency response Center(ASEC)では最近、不適切に管理されている MS-SQL サーバーを対象に Remcos RAT がインストールされていることを確認した。このような事例は2022年2月に当社のブログを通じて紹介したことがある。

今回の事例は当時の配布方式とは異なり、配布時に攻撃者が sqlps を活用していることが確認された。sqlps は SQL Server PowerShell で、SQL Server インストールファイルに含まれている^[1]。SQL Server PowerShell　を使用すると、SQL Server インスタンスの管理に必要な PowerShell cmdlet を使用できる。攻撃者はこのような機能を悪用してマルウェアの配布に活用していた。

[図1] AhnLab Smart Defense(ASD) ログ1

[図2] AhnLab Smart Defense(ASD) ログ2

[図1]と[図2]は、当社の AhnLab Smart Defense (ASD) のログである。攻撃者が不適切に管理されている MS-SQL サーバーに侵入して、sqlps コマンドでマルウェアを %temp% パスにダウンロードおよび実行する内容を確認することができる。インストールされるマルウェアは、QSetup Installation Suite で作成されたファイルである。QSetup Installation Suite は Windows OSで使用できるインストールプログラムの作成ツールである｡マルウェアを実行すると、以下のようなファイルが一時パスに生成され、Dust ファイルを実行する。

[図3] Qsetup 生成ファイル

[図4] dust 実行コマンド

[図3]の一時パスに生成された dust ファイルは、難読化された VBS スクリプトファイルであり、[図4]と同じコマンドを実行する。ランダムな名前のフォルダーを生成し、一時パスに生成されたファイルを組み合わせて実行ファイルを生成する。生成された実行ファイルは正常な AutoIt 実行ファイルである。

[図3]の一時パスに生成された Lone ファイルは、難読化された AutoIt スクリプトファイルである。生成された正常な AutoIt 実行ファイルを通して Lone が実行され、Remcos RAT を復号化してインジェクションおよび実行する。実行された Remcos RAT　は、感染システムのファイル/プロセスのタスクのような遠隔操作機能のため、80.66.75.51[:]2290に接続を試みる。

MS-SQL サーバーをターゲットとする攻撃の代表例としては、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。管理者は、アカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならない。

そして V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。また、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。上記のような処置が先行されていない場合、攻撃者およびマルウェアによって感染状態が継続する場合がある。

[ファイル検知]