Posted By EASTSTON3 , 2023년 5월 15일

MS-SQL 서버의 sqlps.exe 유틸리티 악용한 Remcos RAT 유포

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Remcos RAT가 설치되고 있는 것을 확인하였다. 이와 같은 사례는 2022년 2월 자사 블로그를 통해 공유한 이력이 있다.

취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT

이번 사례는 당시 유포 방식과 다르게 공격자가 sqlps를 유포에 활용하고 있음을 확인 했다. sqlps 는 SQL Server PowerShell 로 SQL Server 설치에 포함되어 있다^[1]. SQL Server PowerShell을 사용하면 SQL Server 인스턴스를 관리하는 데 필요한 PowerShell cmdlet을 사용할 수 있는데 공격자는 이런 기능을 악용하여 악성코드 유포에 활용했다.

[그림 1] AhnLab Smart Defense(ASD) 로그 1

[그림 2] AhnLab Smart Defense(ASD) 로그 2

[그림 1]과 [그림 2] 는 자사 AhnLab Smart Defense(ASD) 로그이며, 공격자가 부적절하게 관리되고 있는 MS-SQL 서버에 침투하여 sqlps 명령어로 악성코드를 %temp% 경로에 다운로드 및 실행하는 내용을 확인할 수 있다. 설치되는 악성코드는 QSetup Installation Suite 로 작성된 파일이다. QSetup Installation Suite은 Windows 운영 체제에서 사용할 수 있는 설치 프로그램 제작 도구이다. 악성코드 실행 시 아래와 같은 파일들이 임시경로에 생성되며 Dust 파일을 실행한다.

[그림 3] QSetup 생성파일

[그림 4] dust 실행 명령어

[그림 3]의 임시 경로에 생성된 Dust 파일은 난독화된 VBS 스크립트 파일로, [그림 4]와 같은 명령어를 수행한다. 랜덤한 이름의 폴더를 생성하고, 임시 경로에 생성된 파일을 합쳐 실행파일로 생성한다. 생성된 실행파일은 정상 오토잇 실행파일이다.

[그림 3]의 임시 경로에 생성된 Lone 파일은 난독화된 오토잇 스크립트 파일이다. 생성된 정상 오토잇 실행파일을 통해 Lone가 실행되며, Remcos RAT를 복호화하여 인젝션 및 실행한다. 실행된 Remcos RAT는 감염 시스템에 대한 파일 / 프로세스 작업과 같은 원격 제어 기능을 위해 80.66.75.51[:]2290 에 접속 시도한다.

MS-SQL 서버를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있다. 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 한다.

그리고 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다. 또한 외부에 공개되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 위와 같은 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.

[파일 진단]