Ammyy Admin をインストールする MS-SQL サーバーを対象とする攻撃事例

AhnLab SEcurity intelligence Center(ASEC)は、近年、不適切に管理されている MS-SQL サーバーを対象に Ammyy Admin をインストールする攻撃事例を確認した。Ammyy Admin は、リモートコントロールツールであり、AnyDesk や ToDesk、TeamViwer などと共にリモートでシステムを操作するための目的で使用される。

これらのツールは、正常に使用する場合、企業および個人がリモートに位置するシステムを管理および操作することができる。しかし、リモートでシステムをコントロールできる機能は、バックドアおよび RAT マルウェアが提供するものと同じであるため、攻撃者がこれを悪用する場合もある。実際の MS-SQL サーバーを対象とする攻撃事例でも AnyDesk が多く悪用されているが [1] ASEC では、これ以外にも GotoHTTP を悪用した攻撃事例を確認し、紹介したことがある。[2]

Windows システムを基準に MS-SQL サーバーは、代表的な攻撃対象である。攻撃者は、不適切に管理されている脆弱な MS-SQL サーバーを対象にスキャニングを行った後、制御に成功すると、マルウェアをインストールする。攻撃対象となったシステムは、外部に公開されており、脆弱な資格情報を使用しているものと推定される。攻撃者は、攻撃に成功した後、以下のようなコマンドを実行し、感染システムに関する情報を収集した。

図1. コマンド実行ログ

その後 WGet をインストールし、これを利用してさらなるマルウェアをインストールした。インストールされたマルウェアには、Ammyy Admin(mscorsvw.exe)、Ammyy Admin の設定ファイル(settings3.bin)、そして PetitPotato(p.ax)がある。

Ammyy Admin は、他のリモートコントロールツールと同様に、リモート画面操作を提供するツールであり、感染システムに Ammyy Admin をインストールした後、「Client ID」と「Password」を知ることができれば、これを利用してリモートからシステムを操作することができる。

図2. Ammyy Admin を利用したリモートコントロール

攻撃に使用された Ammyy Admin は v3.10 のように古いバージョンであり、このようなタイプは悪用できる方式が知られている。まず、以下のようにすべてのコンピューターで直接指定したパスワードでログインできるように設定する。その後、作成された設定ファイル「settings3.bin」を感染システムの Ammyy Admin の設定ファイルとして使用すると、攻撃者は「Client ID」さえ知っていれば感染システムをリモートで操作できる。公開されている悪用手法ではメモリから「Client ID」を抽出して使用するが、実際の攻撃者が使用した具体的な方式は確認されていない。

図3. 攻撃者が配布した Ammyy Admin 設定ファイル

その他にも、リモートデスクトップで感染システムにアクセスしようと試みた。攻撃者は、そのために権限昇格ツールである PetitPotato を悪用し、新しいユーザーを追加した後 RDP サービスを有効にした。

MS-SQL サーバーを対象とする攻撃には代表的に、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)とディクショナリー攻撃(Dictionary Attack)がある。管理者は、アカウントのパスワードを推測されにくい形式で設定し、定期的にパスワードを変更することで、総当たり攻撃やディクショナリー攻撃からデータベースサーバーを保護する必要がある。

そして、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。また、外部に公開されているデータベースサーバーに関してもファイアウォールのようなセキュリティ製品を利用して外部の攻撃者からのアクセスを遮断する必要がある。このような先行処置を行わないと、攻撃者やマルウェアに持続的に感染される恐れがある。