AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 BAT파일 확장자의 Mallox 랜섬웨어가 유포되고 있는 것을 확인하였다. 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 유포되는 파일 형태가 EXE 파일 확장자와 더불어 Fileless형태인 BAT 파일 확장자도 사용되고 있다. 현재까지 확인된 BAT 파일 확장자 유포 파일은 Remcos RAT 와 Mallox 랜섬웨가 있다.
BAT 파일 확장자 유포는 powershell 과 sqlps 를 사용한 사례 2가지 모두 존재한다. sqlps 유포는 기존 ASEC 블로그를 통해 소개한 바 있다. 아래 [그림 1]은 자사 AhnLab Smart Defense(ASD) 로그이다. 탐지 내용에 다운로드 주소가 Tst.bat로 확인된다. [그림 2]는 상세 로그중 일부로 BAT 파일 확장자가 어떻게 다운로드 되었는지 확인되며, 이에 근거하여 자사 EDR 제품을 통해 재현하여 랜섬웨어 행위를 분석한다.
그림 1. AhnLab Smart Defense(ASD) 탐지로그
그림 2. AhnLab Smart Defense(ASD) 탐지로그 상세
그림 3. AhnLab EDR 제품 탐지 화면
[그림 3]은 실제 사용된 명령어를 이용하여 Mallox 랜섬웨어를 다운로드 및 실행한 내용을 EDR 제품에서 탐지한 그림이다. 다이어그램 그림은 주요 행위에 대해 간략히 그려진 것을 확인할 수 있다. 좌측 화면의 프로세스를 클릭하면 탐지 사유와 수행한 행위에 대한 로그가 존재한다. 공격자와 유사하게 CMD를 이용하여 파워쉘 프로세스로 악성코드 다운로드 명령어 수행 행위를 실행했음을 확인할 수 있다. 공격자의 유포지 주소와 저장 경로가 상세히 표기된다.
그림 4. 실행파일 생성 및 실행
파워쉘 명령어로 다운로드된 BAT 파일은 CMD로 실행된다. BAT파일명과 동일한 실행파일을 같은 경로에 생성한다. bat.exe 파일명의 생성된 실행파일은 윈도우 정상 파일인 파워쉘 이다.
그림 5. killerrr.bat 파일 생성 및 실행하는 행위
[그림 4] 에서 생성한 임의의 파일명을 갖는 파워쉘 정상 파일을 임의의 인코딩된 스크립트 명령어와 함께 실행한 그림이 [그림 5]이다. Mallox랜섬웨어 본체인 데이터를 윈도우 정상 프로세스인 MSbuild.exe 에 인젝션 기법 중 하나인 Process Hollowing 을 수행한다. 또한 동일 경로에 killerr.bat 파일 생성 및 실행한다.
그림 6. killerrr.bat 파일 실행 행위
[그림 6]은 killerr.bat 의 실행 증적이다. killerr.bat는 파일이름에서 유추할 수 있듯 다수의 프로세스를 종료 시키고 다수의 서비스를 종료 및 삭제하는 기능을 수행한다. 실행 명령어와 실행 행위를 한 눈에 볼 수 있다.
그림 7. 인젝션된 MSBuild.exe 의 랜섬웨어 행위 1
그림 8. 인젝션된 MSBuild.exe 의 랜섬웨어 행위 2
[그림 7]은 인젝션 기법인 Process Hollowing 되어 실행된 MSBuild.exe 의 랜섬웨어 행위에 대한 탐지 화면이다. 디코이 파일이 암호화 된 내용을 확인할 수 있으며, 볼륨 섀도 복사본을 삭제하는 명령을 수행한 이력도 남아있다. 암호화된 문서파일에 대한 내용도 모두 기록된다. [그림 8]은 윈도우 기능을 이용해 복구를 하는 것을 차단하기 위해 수행하는 명령어로 모두 기록되어 있음을 확인할 수 있다.
최근 부적절하게 관리되고 있는 MS-SQL 데이터베이스 서버를 대상으로 설치되는 악성코드는 실행파일도 있지만, Fileless 방식인 비 실행 파일(NON-PE)도 발견되기 시작했다. MS-SQL 데이터베이스 서버를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있다. 공격 대상이 되는 MS-SQL 서버의 경우 데이터베이스 서버로서 직접 구축한 형태 외에도 ERP 및 업무용 솔루션 설치 과정에서 함께 설치되는 경우도 다수 존재한다.
이에 따라 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다. 또한 외부에 오픈되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 공격자로부터의 접근을 통제해야 한다. 모든 예방으로도 발생하는 침해 사고에 대해 안랩 EDR 제품으로 사고 조사와 분석으로 원인 파악을 통한 재발 방지를 할 수 있다.
[IOC]
- 행위 탐지
Connection/EDR.Behavior.M2650
Ransom/EDR.Decoy.M2470
SystemManipulation/EDR.Event.M2486
Execution/MDP.Powershell.M4602
Execution/MDP.Powershell.M4604
Execution/MDP.Powershell.M4624 - 파일 탐지
Ransomware/BAT.MALLOX.SC189737 (2023.06.13.02) - MD5
dcf060e00547cfe641eff3f836ec08c8 - URL & C2
hxxp://80.66.75[.]116/tst.bat
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지