취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT

ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 하는 공격을 지속해서 모니터링하고 있다. 공격에 취약한 MS-SQL 서버라고 한다면 일반적으로 계정 정보를 부적절하게 관리함에 따라 무차별 대입 공격(Brute Forcing)이나 사전 공격(Dictionary Attack)에 취약한 케이스가 대부분으로 추정된다.

공격자 또는 악성코드는 외부에 노출된 MS-SQL 서버를 스캐닝하고 무차별 대입 공격이나 사전 공격을 통해 MS-SQL에 관리자 계정으로 로그인한 후 xp_cmdshell과 같은 명령을 이용해 악성코드를 설치한다. 이에 따라 이전 블로그에서는 MS-SQL 서버 프로세스 즉 sqlservr.exe에 의해 설치되는 코발트 스트라이크 악성코드를 다루었다.

– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크

MS-SQL 서버를 대상으로 하는 공격은 과거부터 꾸준히 이루어지고 있다. 자사 ASD 인프라 로그에 따르면 최근 수 개월 간 Remcos RAT 악성코드를 설치하는 공격이 다수 확인된다.

[그림 1] 프로세스 트리

Remcos RAT은 수년 전부터 스팸 메일을 통해 꾸준하게 유포되고 있는 RAT (Remote Administration Tool) 악성코드이다.

[ASEC 블로그] 스팸 메일로 유포 중인 Remcos RAT 악성코드

[ASEC 블로그] 파일리스로 동작하는 Remcos RAT 악성코드

RAT 악성코드임에 따라 기본적으로 감염 시스템에 대한 파일 / 프로세스 작업과 같은 원격 제어 기능을 지원하며, Remcos는 나아가 웹 브라우저 계정 정보, 키로깅, 스크린샷 캡쳐, 웹캠 및 녹음과 같은 정보 탈취 기능도 함께 제공한다.

[그림 2] Remcos 설치 후 생성되는 레지스트리

일반적으로 공격자들은 파일 진단을 우회하기 위해 패커를 이용해 악성코드를 패킹하여 유포하는데 이는 Remcos RAT도 마찬가지이다. 최근 MS-SQL 서버를 대상으로 하는 공격에서 확인되는 Remcos는 아래와 같이 3가지 종류의 패커가 사용되고 있다.

첫번째 패커는 내부 리소스에 인코딩된 형태의 Remcos를 포함하고 있다가 디코딩하여 사용하는 전형적인 닷넷 패커이다. 이러한 유형의 닷넷 패커는 하나의 패커만 존재하는 것이 아니라 내부적으로 다수의 패커가 존재하여 인젝션 및 분석 방해 기능을 제공한다.

[그림 3] 리소스 영역에 존재하는 인코딩된 Remcos

두번째 패커는 동일하게 닷넷 패커이지만 내부적으로 Remcos를 포함하는 형태가 아닌 외부에서 다운로드 받는 다운로더이다. 다음과 같이 외부 주소에서 또 다른 패커 악성코드를 다운로드 받아 메모리 상에서 실행하는데, 해당 패커에 Remcos가 포함되어 있음에 따라 최종적으로 Remcos가 실행된다.

[그림 4] Remcos 패커를 다운로드하는 루틴

마지막으로 최근에는 오토잇 패커를 사용하는 유형이 확인되고 있다. 오토잇(AutoIt)은 C#(닷넷), VB, 델파이 등의 언어들과 함께 파일 진단을 우회하기 위한 목적으로 자주 사용되는 대표적인 언어이다. 이에 따라 오토잇 패커들 또한 종류가 다양하지만 현재 분석 대상 Remcos RAT이 사용하는 패커는 과거 CryptBot 인포스틸러 악성코드에서 사용된 류와 동일하다.

[ASEC 블로그] 지속적으로 변형되며 유포 중인 CryptBot 정보탈취 악성코드

Remcos는 최종적으로 아래의 프로세스 트리 중 AutoIt 프로그램 Vedrai.exe.pif 프로세스에서 디코딩 및 로드되어 실행된다.

[그림 5] 오토잇 패커의 프로세스 트리

MS-SQL 서버는 윈도우 환경의 대표적인 데이터베이스 서버로서 과거부터 꾸준히 공격자들의 공격 대상이 되고 있다. 그리고 이러한 MS-SQL 서버에 대한 대표적인 공격 방식으로는 부적절하게 관리되는 계정 정보에 대한 무차별 대입 공격이나 사전 공격이 있다.

MS-SQL 서버의 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다. 또한 외부에 오픈되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 위와 같은 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.

안랩 제품에서는 다음과 같이 해당 악성코드를 진단하고있다.

[파일 진단]
– Trojan/Win.Agent.C4968517 (2022.02.15.00)
– Trojan/Win.Phonzy.C4968515 (2022.02.15.00)
– Trojan/Win.Generic.R471857 (2022.02.11.01)
– Dropper/Win.DropperX-gen.C4958519 (2022.02.08.01)
– Malware/Win.Generic.C4958027 (2022.02.08.01)
– Malware/Win.Generic.R470228 (2022.02.04.00)
– Malware/Win.Generic.C4938493 (2022.01.29.01)
– Malware/Win.Generic.C4927838 (2022.01.23.01)
– Malware/Win.AGEN.C4923414 (2022.01.20.01)
– Downloader/Win.MSIL.C4915013 (2022.01.16.00)
– Malware/Win.Generic.C4914964 (2022.01.16.00)
– Trojan/Win.PWSX-gen.C4914853 (2022.01.15.01)
– Trojan/Win.MalwareX-gen.C4909942 (2022.01.14.02)
– Trojan/Win.Agent.C4909628 (2022.01.13.03)
– Trojan/Win.MSILKrypt.R464483 (2022.01.13.03)
– Malware/Win.Generic.C4909271 (2022.01.12.03)
– Malware/Win.Generic.C4899117 (2022.01.07.01)
– Trojan/Win.Sabsik.C4897696 (2022.01.07.00)
– Downloader/Win.Generic.C4897640 (2022.01.06.03)
– Trojan/Win.FCUF.C4895498 (2022.01.04.01)

[행위 진단]
– Malware/MDP.Download.M1197

[IOC]
MD5
Remcos RAT (Dotnet Packer)
– f046ef490ef95db748affcfa3143473c
– 63839b6a0acbdf6168a4801c8b7c5581
– b51aacdecd5cad99ccac42d60b015cfb
– 7dfc54c687834ec6a67bdc829841b8d2
– 03a7e00904804d0101876635536d654c
– 5a4f1f6fa52b72e1aab8ac269cea362b
– 47a76055325b3e070c3bd2ef4f591121

Remcos RAT (Dotnet Downloader)
– 939037f5b3bd3978177bbaf449bb7af4
– f76b5fb4aef6594e4c9091d5069c1a56
– fe6813b827d6d2c6bd901859e982aee4
– 048d174281c80cdd60050cef23a44b06
– 13aa62a97894740492cf0fbdf959dc2f
– dc76c55f2e666eb89743ca68058cedc6
– 5e6507762002c5b0ea2e2f5028e9d2cc

Remcos RAT (AutoIt Packer)
– a7c08ad9d5fc531b6d34d6d4c3f083b5
– d848b1933dc12be23bcb041e7430fc11
– 8ee4d290e657683c4c0b3d3e0502000c
– a765dbcbac57a712e2eb748fe6fd5e7c
– ba5d732aff1e17ec130d128765401f37
– 23fb5e5dde5a6debaaf35139c6d32b2d
– 7d2fcafcb6e71f2eacf8f97ccb6dcd59

C&C
– 91.243.44[.]15:2474
– 91.243.44[.]30:55333
– 91.243.44[.]32:58432
– 91.243.44[.]33:7813
– 91.243.44[.]63:1803
– 91.243.44[.]79:1488
– 91.243.44[.]84:1285
– 91.243.44[.]99:58432

Download URL
– hxxp://101.34.71[.]122/pjypchp.exe
– hxxp://91.243.44[.]15/hbzk.exe
– hxxp://91.243.44[.]15/j5yew.exe
– hxxp://91.243.44[.]15/jdko.exe
– hxxp://91.243.44[.]15/lbu.exe
– hxxp://91.243.44[.]30/pl-uvghtus.exe
– hxxp://91.243.44[.]32/martel.exe
– hxxp://91.243.44[.]32/poshost.exe
– hxxp://91.243.44[.]32/sigmatool.exe
– hxxp://91.243.44[.]32/yaspexp.exe
– hxxp://91.243.44[.]33/uhiehut.exe
– hxxp://91.243.44[.]33/wvtlnpp.exe
– hxxp://91.243.44[.]55/nevdpgi.exe
– hxxp://91.243.44[.]55/rem-whufjyyr.exe
– hxxp://91.243.44[.]63/jjnngqmt.exe
– hxxp://91.243.44[.]75/hbatka.exe
– hxxp://91.243.44[.]79/bqajq.exe
– hxxp://91.243.44[.]79/urpemtoi.exe
– hxxp://91.243.44[.]79/urvgj.exe
– hxxp://91.243.44[.]84/ntvijsz.exe
– hxxp://91.243.44[.]99/mxupdate.exe

Dotnet Downloader의 추가 페이로드 다운로드 URL
– hxxp://91.243.44[.]30/pl-Uvghtus.log
– hxxp://91.243.44[.]32/nopack.jpg
– hxxp://91.243.44[.]63/Jjnngqmt.log
– hxxp://91.243.44[.]79/Bqajq.png
– hxxp://91.243.44[.]79/Urpemtoi.bin
– hxxp://91.243.44[.]79/Urvgj.png
– hxxp://91.243.44[.]55/rem-Whufjyyr.log

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
5 댓글
Inline Feedbacks
View all comments
trackback

[…] [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 […]

trackback

[…] [ASEC Blog] Remcos RAT Being Distributed to Vulnerable MS-SQL Servers– [ASEC Blog] Cobalt Strike Being Distributed to Vulnerable MS-SQL Servers– [ASEC […]

trackback

[…] 확인된 시스템은 과거부터 Remcos RAT을 포함한 다양한 공격 로그가 확인되는데 이는 해당 시스템이 계정 정보를 […]

trackback

[…] 이를 확인할 수 있다. 다음과 같은 ASEC 블로그에서도 코발트 스트라이크, Remcos RAT, CoinMiner 등 다양한 공격 사례를 공개한 바 […]

trackback

[…] [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 […]