MS-SQL サーバーの攻撃事例で確認された XiebroC2

AhnLab SEcurity intelligence Center(ASEC)では不適切に管理されている MS-SQL サーバーを対象とする攻撃をモニタリングしており、近年、XiebroC2 を利用した攻撃事例を確認した。XiebroC2 は、ソースコードが公開されている C2 フレームワークであり、CobaltStrike と同様に情報収集、遠隔操作、防御回避のような様々な機能をサポートする。 [1]

図1. XiebroC2 の Github ページ

1. 攻撃事例

攻撃が確認されたシステムは外部に公開されており、脆弱な資格情報を使用していると推定される。当該システムはすでに様々なマルウェアのインストール試行が確認されており、一般的な MS-SQL サーバーを対象とする攻撃事例のように主にコインマイナーが使用された。

攻撃者は、ログインに成功した後 JuicyPotato をインストールした。ちなみに、MS-SQL サービスの場合名前を担当するプロセスが、脆弱性や不適切な設定によって攻撃者のコマンドを実行することができるが、基本設定によって低い権限を持って実行中のため、そのプロセスの権限で実行されるマルウェアもまた、さらなる不正な振る舞いを実行するには限界が存在する。これにより、攻撃者は Potato マルウェアを主に使用しているが、現在実行中のプロセスアカウントのトークンのうち、特定の権限を悪用する方式で権限を昇級させるためである。

JuicyPotato をインストールした後は PowerShell を利用し、XiebroC2 をダウンロードした。

図2. XiebroC2 をダウンロードする MS-SQL サービス

2. XiebroC2

XiebroC2 は CobaltStrike と類似した C2 フレームワークであり、ソースコードが公開されている。実際のバックドア機能を担う Implant は Go 言語で作成されており、マルチプラットフォーム、すなわち Windows、Linux、macOS OS に対応する。攻撃者は、感染システムにインストールされた XiebroC2 を利用してリバースシェル、ファイルおよびプロセス管理、ネットワークモニタリングのような遠隔操作、およびリバースプロキシ、さらにスクリーンショットなどの機能を使用することができる。

図3. XiebroC2 のパネル(Github)

XiebroC2 には以下のような形式の設定情報が存在する。実行後には PID、HWID、コンピュータ名、ユーザー名などの情報を収集し、C&C サーバーと接続後、攻撃者のコマンドを実行することができる。

• HostPort = “1.94.185[.]235:8433”
• Protocol = “Session/Reverse_Ws”
• ListenerName = “test2”
• AesKey = “QWERt_CSDMAHUATW”

図4. XiebroC2 が収集する情報

3. 結論

MS-SQL サーバーを対象とする攻撃には代表的に、不適切にアカウント情報を管理しているシステムに対する総当たり攻撃(Brute Forcing)と辞書攻撃(Dictionary Attack)がある。管理者は、アカウントのパスワードを推測が困難な形式で設定し、定期的にパスワードを変更することで、総当たり攻撃や辞書攻撃からデータベースサーバーを保護する必要がある。

そして、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払う必要がある。また、外部に公開されていてアクセスが可能なデータベースサーバーに関してはファイアウォールのようなセキュリティ製品を利用し、外部の攻撃者からのアクセスを統制しなければならない。上記のような処置が先行されていない場合、攻撃者やマルウェアによって感染状態が続くことがある。