ASEC 분석팀은 최근 코발트 스트라이크 악성코드가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인하였다.
MS-SQL 서버는 윈도우 환경의 대표적인 데이터베이스 서버로서 과거부터 꾸준히 공격자들의 공격 대상이 되고 있다. MS-SQL 서버를 대상으로 하는 공격으로는 취약점이 패치되지 않은 환경에 대한 공격 외에도 부적절하게 관리되고 있는 서버에 대한 무차별 대입 공격(Brute Forcing) 또는 사전 공격(Dictionary Attack)이 있다.
일반적으로 공격자 또는 악성코드는 1433번 포트에 대한 스캐닝 과정을 통해 외부에 오픈된 MS-SQL 서버들을 확인한다. 이후 관리자 계정 즉 “sa” 계정에 대해 무차별 대입 공격이나 사전 공격을 수행하여 로그인을 시도한다. 참고로 외부에 MS-SQL 서버가 오픈되어있는 형태가 아니라고 하더라도, 레몬덕 악성코드 같이 내부 네트워크에서 측면 이동을 목적으로 1433번 포트 스캐닝 및 전파하는 유형도 존재한다.
- [ASEC 블로그] SMB 전파기능의 Lemon_Duck 악성코드 유포
즉 관리자 계정 정보를 위와 같이 무차별 대입 및 사전 공격에 취약한 형태로 관리하거나 일정 주기로 변경하지 않을 시 MS-SQL 서버는 공격자의 주요 타겟이 될 수 있다. 이러한 MS-SQL 서버를 공격 대상으로 하는 악성코드들로는 레몬덕 외에도 Kingminer, Vollgar와 같은 코인 마이너 악성코드들이 존재한다.
여기까지의 과정을 통해 공격자가 관리자 계정으로 로그인이 성공하면 xp_cmdshell 명령을 포함한 다양한 방식들을 이용해 감염 시스템에서 명령을 실행시킬 수 있다. 현재 확인된 코발트 스트라이크 악성코드는 아래와 같이 MS-SQL 프로세스에 의해 cmd.exe 및 powershell.exe을 거쳐 다운로드되었다.
코발트 스트라이크는 상용 침투 테스트 도구로서 최근에는 APT 및 랜섬웨어를 포함한 대다수의 공격들에서 내부 시스템 장악을 위한 중간 단계로 사용되고 있다. 현재 확인된 악성코드는 인젝터로서 내부에 포함된 인코딩된 코발트 스트라이크를 디코딩한 후 정상 프로그램인 MSBuild.exe를 실행하고 인젝션한다.
MSBuild.exe에서 실행되는 코발트 스트라이크는 추가적인 옵션이 설정되어 있는데, 보안 제품의 진단을 우회하기 위한 목적으로 정상 dll인 wwanmm.dll을 로드한 후 해당 dll의 메모리 영역에 비컨을 쓰고 실행하는 방식이 그것이다. 이에 따라 공격자의 명령을 전달받아 악성 행위를 수행하는 비컨이 의심스러운 메모리 영역에 존재하지 않고 정상 모듈 wwanmm.dll에서 동작함에 따라 메모리 기반의 진단을 우회할 수 있다.
공격자가 어떠한 방식으로 MS-SQL를 장악하고 악성코드를 설치하였는지 여부는 정확히 알 수 없지만, 위에서 언급한 Vollgar 악성코드의 진단 로그가 함께 확인됨에 따라 해당 시스템도 동일하게 계정 정보가 부적절하게 관리되고 있는 시스템으로 추정된다.
자사 ASD 인프라에 따르면 최근 한달 사이만 해도 다수의 코발트 스트라이크 로그들을 확인할 수 있다. 다운로드 주소 및 C&C 서버의 주소가 유사한 점을 보면 대부분 동일한 공격자의 공격으로 추정된다. 약 한달 간의 코발트 스트라이크들에 대한 IOC는 아래의 항목에 정리한다.
안랩 제품에서는 코발트 스트라이크를 활용한 첫 침투 단계부터 내부 확산 시 사용되는 비컨 백도어에 대해 프로세스 메모리 기반의 탐지 방식과 행위 기반의 탐지 기술을 보유하고 있다.
MS-SQL 서버의 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다. 또한 외부에 오픈되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 위와 같은 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.
[파일 진단]
– Trojan/Win.FDFM.C4959286 (2022.02.09.00)
– Trojan/Win.Injector.C4952559 (2022.02.04.02)
– Trojan/Win.AgentTesla.C4950264 (2022.02.04.00)
– Infostealer/Win.AgentTesla.R470158 (2022.02.03.02)
– Trojan/Win.Generic.C4946561 (2022.02.01.01)
– Trojan/Win.Agent.C4897376 (2022.01.05.02)
– Trojan/Win32.CobaltStrike.R329694 (2020.11.26.06)
[행위 진단]
– Malware/MDP.Download.M1197
[IOC]
MD5
Cobalt Strike (Stageless)
– ae7026b787b21d06cc1660e4c1e9e423
– 571b8c951febb5c24b09e1bc944cdf5f
– e9c6c2b94fc83f24effc76bf84274039
– 828354049be45356f37b34cc5754fcaa
– 894eaa0bfcfcdb1922be075515c703a3
– 4dd257d56397ec76932c7dbbc1961317
– 450f7a402cff2d892a7a8c626cef44c6
CobaltStrike (Stager)
– 2c373c58caaaca0708fdb6e2b477feb2
– bb7adc89759c478fb88a3833f52f07cf
C&C
– hxxp://92.255.85[.]83:7905/push
– hxxp://92.255.85[.]83:9315/en_US/all.js
– hxxp://92.255.85[.]86:80/owa/
– hxxp://92.255.85[.]90:81/owa/
– hxxp://92.255.85[.]90:82/owa/
– hxxp://92.255.85[.]92:8898/dot.gif
– hxxp://92.255.85[.]93:18092/match
– hxxp://92.255.85[.]93:12031/j.ad
– hxxp://92.255.85[.]94:83/ga.js
Beacon 다운로드 주소
– hxxp://92.255.85[.]93:18092/jRQO
– hxxp://92.255.85[.]93:12031/CbCt
Download URL
– hxxp://45.64.112[.]51/dol.exe
– hxxp://45.64.112[.]51/mr_robot.exe
– hxxp://45.64.112[.]51/lion.exe
– hxxp://81.68.76[.]46/kk.exe
– hxxp://81.68.76[.]46/uc.exe
– hxxp://103.243.26[.]225/acrobat.exe
– hxxp://103.243.26[.]225/beacon.exe
– hxxp://144.48.240[.]69/dola.exe
– hxxp://144.48.240[.]85/core.exe
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 […]
[…] 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 […]
[…] 자사 ASD 로그에서도 이를 확인할 수 있다. 다음과 같은 ASEC 블로그에서도 코발트 스트라이크, Remcos RAT, CoinMiner 등 다양한 공격 사례를 공개한 바 […]
[…] MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 […]