ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 최근 FARGO 랜섬웨어가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인하였다. FARGO 랜섬웨어는 GlobeImposter 랜섬웨어와 함께 취약한 MS-SQL 서버를 대상으로 유포되는 대표적인 랜섬웨어이며 과거에는 .mallox 확장자를 사용함에 따라 Mallox 랜섬웨어라고도 불린다.
– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT
– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크
– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2)
– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코인 마이너
– [ASEC 블로그] 취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드

[그림 1]의 프로세스 트리처럼 MS-SQL 프로세스에 의해 cmd.exe 및 powershell.exe을 거쳐 다운로드된 파일은 닷넷으로 빌드된 파일로 [그림 2]와 같이 추가 악성코드를 특정 주소에서 받아와 로드한다. 로드된 악성코드는 특정 프로세스와 서비스를 종료시키는 기능의 BAT파일을 %temp% 경로에 생성 및 실행한다.



랜섬웨어 행위는 윈도우 정상 프로그램인 AppLaunch.exe 에 인젝션하여 실행된다. [그림 5] 의 특정 경로의 레지스트리 키 삭제를 시도하며, [그림 6] 처럼 복구 비활성화 명령어를 실행하고 특정 프로세스를 종료 시킨다. 종료 대상은 그림에서 볼 수 있듯이 SQL 프로그램이다.


랜섬웨어가 파일을 암호화할 때 [표 1] 의 확장자는 감염시키지 않는다. 특이한 점은 Globeimposter 확장자를 감염시키지 않는것을 확인할 수 있으며, 같은 유형의 확장자인 .FARGO .FARGO2 .FARGO3뿐만 아니라 랜섬웨어의 이후 버전으로 추정되는 .FARGO4 가 포함되어 있다.



[그림 7] 은 랜섬노트와 우측상단에 감염파일을 함께 캡쳐한 그림이다. 그림처럼 암호화된 파일은 원본파일명.확장자.FARGO3 의 형태가 되며 랜섬노트는 ‘RECOVERY FILES.txt’ 로 생성된다.

데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있으며, 이외에도 취약점이 패치되지 않은 시스템들에 대한 취약점 공격이 있을 수 있다.
MS-SQL 서버의 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다.
안랩 V3 제품에서는 해당 유형에 대해 다음과 같이 진단하고 있다.
[파일 진단]
– Ransomware/Win.Ransom.C5153317(2022.06.02.01)
– Dropper/Win.DotNet.C5237010(2022.09.14.03)
– Downloader/Win.Agent.R519342(2022.09.15.03)
– Trojan/BAT.Disabler (2022.09.16.00)
[행위 진단]
– Malware/MDP.Download.M1197
[IOC]
MD5
– b4fde4fb829dd69940a0368f44fca285
– c54daefe372efa4ee4b205502141d360
– 4d54af1bbf7357964db5d5be67523a7c
– 41bcad545aaf08d4617c7241fe36267c
Download
– hxxp://49.235.255[.]219:8080/Pruloh_Matsifkq.png
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보