GotoHTTP を悪用した、MS-SQL サーバーを対象とする攻撃事例

AhnLab SEcurity intelligence Center(ASEC)では、不適切に管理されている MS-SQL サーバーをモニタリングしており、最近 GotoHTTP を悪用した攻撃事例を確認した。

1.GotoHTTP

遠隔操作ツールは、リモートでシステムを操作するための目的で使用されるツールであり、リモートデスクトップ、ファイル送信などの機能を提供している。有名な遠隔操作ツールには、AnyDesk、ToDesk、RuDesktop、TeamViewer、AmmyyAdmin などがある。

これらのツールは、正常に使用する場合、企業および個人がリモートでシステムを管理、操作できる。しかし、リモートでシステムを操作できる機能はバックドアおよび RAT マルウェアが提供するものと同じであるため、攻撃者がこれを悪用することもできる。実際、過去には TeamViewer、AmmyyAdmin を悪用する事例が多く、最近では AnyDesk が攻撃によく使用されている。

特に、適切に管理されていない Web サーバーや MS-SQL サーバーを対象とする攻撃では AnyDesk を悪用する事例が頻繁に確認されている。しかし、最近未知の攻撃者が MS-SQL サーバーを攻撃し、GotoHTTP をインストールした事例が確認されており、これを紹介する。

図1.GotoHTTP Web サイト

2.MS-SQL サーバーを対象とする攻撃

攻撃対象となったシステムは、外部に公開されており、脆弱な資格情報を使用しているものと推定される。攻撃者は初期侵入後、先に CLR SqlShell をインストールした。SqlShell は Web サーバーにインストールされる WebShell と同じく､MS-SQL サーバーにインストールされ、攻撃者のコマンドの実行や様々な悪意のある振る舞いの実行をサポートするツールである。

図2.攻撃に使用された CLR SqlShell

攻撃者はインストールした SqlShell を利用して、以下のように感染システムの情報を照会するコマンドを実行した。

図3.攻撃者のコマンドを実行する MS-SQL サーバー

その後、PetitPotato、SweetPotato、JuicyPotato、GodPotato、PrintNotifyPotato、LocalAdminSharp などの権限昇格のためのツールと、ユーザーアカウントを設定、または追加するマルウェアをインストールした。

参考に、Web サービスや MS-SQL サービスの場合、これを担当するプロセスが脆弱性や不適切な設定によって攻撃者のコマンドを実行できたとしても、デフォルトの設定により低い権限で実行されているため、このプロセスの権限を実行するマルウェアも同じく不正な振る舞いを実行するのに限界がある。そのため、攻撃者は Web シェルや MS-SQL サーバーを対象とする攻撃に Potato マルウェアを主に使用するが、Potato タイプのマルウェアが現在実行中のプロセスアカウントのトークンのうち、特定の権限を悪用する方式で権限を昇格させてくれるためである。

攻撃者は以下のように、元から存在するユーザーアカウントのパスワードを再設定したり、ユーザーアカウントを追加する機能を担当するマルウェアを同時にインストールしたりもした。このようにして追加されたバックドアアカウントは、その後攻撃者が RDP を使用した遠隔操作に使用することができる。

Table 1.ユーザー設定

攻撃者は他にも追加で GotoHTTP をインストールした。GotoHTTP は、他の遠隔操作ツールと同じく、リモート画面操作機能を提供するツールであり、感染システムに GotoHTTP をインストールした後、「Computer Id」と「Access Code」を知ることができれば、これを利用してリモートでシステムを操作できる。GotoHTTP が実行されると、同じパスに「gotohttp.ini」という名前の設定ファイルを生成するが、これには「Computer Id」と「Access Code」が保存されている。攻撃者は感染システムに GotoHTTP をインストールした後、生成された「gotohttp.ini」を窃取してリモートで接続したものと推定される。

Figure 4.GotoHTTP を利用した遠隔操作

3.結論

攻撃者たちは、初期侵入プロセスを経て攻撃対象のシステムを掌握するために、バックドア型マルウェアをインストールする。最近では、既知のものや新たなバックドア型マルウェアを作成する方法よりも、正常なユーティリティを悪用する特徴がある。そのため、一般的に多くのユーザーが使用している遠隔操作ツールが使用される。

最近は AnyDesk を悪用する事例が多いが、今回確認された攻撃事例では GotoHTTP という遠隔操作ツールが使用された。攻撃者はこのような正常な遠隔操作ツールを悪用してセキュリティ製品の検知を回避し、GUI 環境で感染システムを操作することができる。

MS-SQL サーバーを対象とする代表的な攻撃には、アカウント情報が適切に管理されていないシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。管理者は、アカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護しなければならない。

そして、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意するべきである。また、外部に開放されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを制御する必要がある。上記のような措置が先行されていない場合、攻撃者とマルウェアによって感染状態が続く場合がある。

MD5

1fdb1dd742674d3939f636c3fc4b761f

45d35c34b2c20cb184afde6ed146e86e

493aaca456d7d453520caed5d62fdc00

6b2fbf67dbb11d9bef35a5135d96af5f

90e9ff3b82ea8c336b45c9c949d41080

追加 IoC は ATIP で提供しています。

URL

http[:]//121[.]37[.]130[.]173/yow[.]txt

http[:]//121[.]37[.]130[.]173/yow2[.]txt

http[:]//121[.]37[.]130[.]173/yow3[.]txt

http[:]//121[.]37[.]130[.]173/yow4[.]txt

http[:]//121[.]37[.]130[.]173/yow5[.]txt

追加 IoC は ATIP で提供しています。