취약한 MS-SQL 서버를 대상으로 유포 중인 코인 마이너

ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 이전 블로그에서는 CobaltStrike와 Remcos RAT이 유포된 사례를 다루었지만, 실제 확인되고 있는 공격의 상당 수는 코인 마이너 악성코드이다.

– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT
– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크
– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2)

여기에서는 작년부터 최근까지 꾸준히 유포되고 있으며 동시에 높은 비율을 차지하고 있는 특정 유형의 코인 마이너 악성코드에 대해서 다룬다. 자사 ASD 인프라에 따르면 해당 코인 마이너 악성코드가 설치된 시스템들에서 Vollgar 코인 마이너의 진단 로그들이 함께 확인되는 경우가 다수 확인된다. Vollgar는 취약한 계정 정보를 갖는 MS-SQL 서버에 대한 무차별 대입 공격을 통해 설치되는 대표적인 코인 마이너 악성코드이며, 이에 따라 해당 마이너 또한 동일한 방식이 사용될 것으로 추정된다.

정확한 공격 방식 및 사용된 명령은 확인할 수 없지만 파일 생성 및 실행 등 수집된 로그에 따르면, 공격자는 먼저 MS-SQL 데이터 폴더(ex : %ProgramFiles%\microsoft sql server\mssql13.mssqlserver\mssql\data)에 sqlbase 폴더를 생성하고 해당 경로에 SqlBase.exe 라는 이름의 악성코드를 생성하였다. 즉 MS-SQL 서버 프로세스인 sqlservr.exe 프로세스에 의해 해당 경로에 악성코드가 생성 및 실행된다.

SqlBase.exe는 다음과 같이 닷넷으로 개발된 단순한 형태의 다운로더 악성코드로서 C&C 서버로부터 설정 데이터 및 코인 마이너를 다운로드하여 설치하는 기능을 수행한다.

설정 데이터는 다음 주소에서 다운로드 받는데 Base64 및 AES로 암호화되어 있기 때문에 복호화하는 과정이 필요하다.

• 설정 데이터 다운로드 주소 : hxxp://dl.love-network[.]cc/config.txt

복호화된 데이터는 XML 포맷으로 버전 정보와 XMRig 코인 마이너 실행 시 사용할 인자를 담고 있다.

이후 다음 주소에서 VMP로 패킹된 XMRig 악성코드를 다운로드한다. data.mdf 파일은 zip 포맷의 압축 파일이며 내부에 XMRig 코인 마이너가 포함되어 있다. sqlbase.exe는 XMRig를 동일 경로에 sqlconn.exe라는 이름으로 압축 해제한다.

• XMRig 다운로드 주소 : hxxp://dl.love-network[.]cc/data.mdf

참고로 공격자가 위장한 압축 파일 data.mdf는 mdf 확장자를 가지고 있는데, 이는 MS-SQL에서 사용하는 데이터 파일(Primary Data File)이다. 실제 MS-SQL 데이터 폴더인 “%ProgramFiles%\microsoft sql server\mssql13.mssqlserver\mssql\data\” 를 보면 다수의 mdf 및 ldf(Log File) 파일들 등 MS-SQL 관련 데이터 파일들을 확인할 수 있다.

여기까지의 과정이 끝나면 XMRig 파일에 숨김 및 시스템 속성을 부여한 후 위에서 구한 설정 데이터의 인자 항목 즉 마이닝 풀의 주소 및 사용자 계정 정보들과 함께 XMRig를 실행하여 감염 시스템에서 마이닝을 수행한다.

MS-SQL 서버를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있다. 일반적으로 이러한 방식들이 공격의 대부분을 차지하고 있는 것으로 보이지만, 이외에도 취약점이 패치되지 않은 시스템들에 대한 취약점 공격이 있을 수 있다.

다음은 공격자가 설치하는 최초 악성코드 SqlBase.exe 파일이 생성된 경로들이며, 이를 통해 공격 대상이 된 MS-SQL 시스템들을 확인할 수 있다.

%ProgramFiles%\microsoft sql server\mssql13.mssqlserver\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql12.sqlexpress\mssql\data\sqlbase\sqlbase.exe

%ProgramFiles%\microsoft sql server\mssql10_50.d*****20\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql10_50.d*****016\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql10_50.i***e\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql10_50.i*****20\mssql\data\sqlbase\sqlbase.exe
%ProgramFiles%\microsoft sql server\mssql14.d*****e\mssql\data\sqlbase\sqlbase.exe

%ProgramFiles% (x86)\microsoft sql server\mssql10_50.o—em\mssql\data\sqlbase\sqlbase.exe

MS-SQL은 특정한 목적을 위해 직접 설치하여 사용하기도 하지만 데이터베이스 관리 시스템을 필요로 하는 다른 프로그램들에 의해 함께 설치되는 경우도 존재한다. 위의 로그를 보면 일반적인 MS SQL Server의 경로들 외에도 ERP 및 업무용 술루션에 의해 설치된 MS-SQL도 공격 대상이 되고 있는 것으로 추정된다.

즉 MS-SQL을 직접 설치하여 운용하는 사례 외에도 다른 업무용 프로그램들에 의해 설치된 MS-SQL 또한 공격 사례가 될 수 있음에 따라 사용자들은 취약점 패치 및 계정 관리에 신경써야 한다.

MS-SQL 서버의 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다. 또한 외부에 오픈되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 위와 같은 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.

안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
– CoinMiner/Win.Agent.C4420300 (2021.04.24.00)
– CoinMiner/Win.LoveMiner.R472804 (2022.02.16.01)
– CoinMiner/Win.XMRig.R424798 (2021.08.07.00)

[IOC]
MD5
– SqlBase.exe : fe3659119e683e1aa07b2346c1f215af
– sqlconn.exe : b11d7ac5740401541bc1be33dd475e00

XMRig Mining Pool
– serv1.love-network[.]cc:2082

Download
– hxxp://dl.love-network[.]cc/config.txt
– hxxp://dl.love-network[.]cc/data.mdf

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.