국내 웹 서버 대상 코인 마이너 공격 사례 분석

웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개되어 있기 때문에 과거부터 공격자들의 대표적인 공격 대상이 되어 왔다. AhnLab SEcurity intelligence Center(ASEC)은 취약점이 패치되지 않았거나 부적절하게 관리되고 있는 취약한 웹 서버들을 대상으로 한 공격을 모니터링하고 있으며 확인된 공격 사례들을 블로그를 통해 공개하고 있다.

ASEC은 최근 국내 의료 기관을 공격하여 코인 마이너를 설치하는 공격 사례를 확인하였다. 공격 대상이 된 웹 서버는 윈도우 IIS 서버였으며 웹쉘이 업로드된 경로명을 보면 PACS(Picture Archiving and Communication System) 제품이 설치된 시스템인 것으로 추정된다.

PACS(Picture Archiving and Communication System)는 환자의 의료 영상을 디지털로 관리하고 전송하는 시스템으로써 병원에서 의료 영상을 시공간 제한 없이 조회하고 판독하기 위해 사용하는 시스템이다. 따라서 현재 많은 병원에서 PACS를 사용하며, 이 PACS 시스템에는 여러 전문 업체가 있어 의료 기관에 따라 사용하는 PACS 제품이 다를 수 있다.

공격 대상이 된 웹 서버에서는 다수의 웹쉘 업로드 시도가 확인되었으며 구체적인 정황은 확인되지 않지만 PACS 제품에 취약점이 있거나 관리자가 적절하게 보안 설정을 구축하지 않았을 것으로 추정된다. 해당 서버는 며칠 간격으로 두 공격자가 공격을 수행한 것으로 보이는데 이는 웹쉘 업로드 공격이 두 차례에 걸쳐 일어났으며 두 개의 공격에서 직접적인 연관성이 확인되지 않았기 때문이다.

두 공격 모두 중국어를 사용하는 공격자에 의해 이루어진 것으로 추정되는데 이는 Cpolar, RingQ와 같이 사용하는 도구들 중에서 중국어로 개발된 도구들이 다수 확인되었으며 중국어로 된 주석이 확인되었기 때문이다. 참고로 국내 취약한 웹 서버 대상 공격들 중 상당수는 중국어를 사용하는 공격자들로 추정되는 사례들이다. [1] [2] [3]

1. 첫 번째 공격 사례

처음 확인된 공격에서 공격자는 Chopper, Behinder와 같은 웹쉘을 사용하였다. 웹쉘 업로드에 성공한 공격자는 다음과 같은 명령들을 사용해 시스템의 정보를 수집하였다.

> whoami > ipconfig > tasklist > systeminfo > netstat -ano > query user > ping 8.8.8.8

이후 설치한 웹쉘을 통해 권한 상승 도구인 BadPotato와 프록시 도구인 Cpolar를 설치하였다. Cpolar는 중국 개발자가 제작한 터널링 도구로서 Ngrok와 유사하다. 이러한 도구들은 일반적으로 외부에서 NAT 환경 내부에 존재하는 시스템에 접속할 수 있게 시스템을 노출시켜 주기 때문에 공격자들이 외부에서 RDP 원격 접속을 위해 설치하는 경향이 있다.

공격자는 이후 코인 마이너 악성코드를 설치하였는데 먼저 “1.cab” 파일을 다운로드하였다. “1.cab” 파일 내부에는 Batch 스크립트 악성코드인 “1.bat”을 포함하여 작업 스케줄러 등록에 사용될 xml, 코인 마이너 다운로더 악성코드들이 포함되어 있다. 다운로더 악성코드 또한 외부에서 zip 압축 파일을 다운로드해 설치한다.

참고로 코인 마이너 설치에 사용되는 “1.bat” 파일에서도 중국어로 작성된 주석을 확인할 수 있다. 즉 Ngrok 도구 대신 중국어 사용자들에게 익숙한 Cpolar가 사용되었다는 점이나 공격 스크립트에 포함된 주석에 중국어가 포함된 것을 통해 공격자가 중국어 사용자인 것을 추정할 수 있다.

공격자는 위에서 다룬 악성코드들만 사용하여 XMRig를 설치하였지만 실제 다운로드 주소에는 훨씬 많은 악성코드들이 존재한다. 웹쉘들 중에는 Caidao, ASPXspy가 존재하며 권한 상승 관련 도구들로는 BadPotato 외에도 GodPotato, PrintNotifyPotato, IIS LPE (by k8gege)가 있다.

이외에도 포트 포워딩을 위한 도구들도 Cpolar 외에 Frpc, Lcx가 업로드되어 있으며 추후 원격으로 접속하기 위한 목적으로 사용자 계정을 추가하는 악성코드들도 존재한다. “useradd.exe” 악성코드는 인자로 추가할 사용자 계정을 전달받을 경우 랜덤한 비밀번호로 계정을 추가하고 결과를 출력해서 보여주는 도구이다.

Mining Pool
sinmaxinter[.]top:7005

Table 1. 첫 번째 공격 사례에서 사용된 마이닝 풀 주소

2. 두 번째 공격 사례

두 번째 공격은 첫 번째 공격이 이루어진 며칠 후에 발생하였다. 최초 침투 과정에서는 이전 사례와 동일하게 웹쉘들을 설치하였으며 공격자는 Godzilla, Chopper, Behinder 등의 웹쉘을 사용하였다. 웹쉘 업로드에 성공한 공격자는 다음과 같은 명령들을 사용해 시스템의 정보를 수집하였다.

> whoami > systeminfo > netstat -ant

두 번째 공격에서는 Certutil을 이용해 추가 악성코드를 다운로드한 것이 특징이다. 공격자는 권한 상승 목적으로 GodPotato, PrintNotifyPotato 그리고 CVE-2021-1732 취약점 악성코드를 설치하였다. 그리고 감염 시스템이 속한 네트워크를 탐색하기 위해 Fscan 도구와 원격 쉘을 설치하여 감염 시스템을 제어하기 위한 Netcat을 설치하였다. 그리고 이전 사례에서 Cpolar, Frpc, Lcx를 사용한 것과 달리 이번에는 프록시 도구로서 EarthWorm을 사용한 것이 특징이다.

공격자는 이외에도 Ladon을 설치하였는데 Ladon은 공격 과정에서 필요한 다양한 기능들을 지원하는데 대표적으로 스캐닝, 권한 상승, 계정 정보 탈취, 리버스 쉘과 같은 다양한 기능들이 있다. Ladon은 중국어를 사용하는 개발자가 제작하였으며 이러한 이유인지 중국어를 사용하는 공격자들이 자주 사용하는 경향이 있다. 

RingQ라고 하는 도구가 공격에 함께 사용되었다는 점도 공격자가 중국어 사용자인 것을 추정할 만한 근거 중 하나이다. RingQ는 인젝터 도구라고 할 수 있는데 일반적인 악성코드들 및 도구들이 AntiVirus 제품에 의해 쉽게 탐지되는 것을 막기 위해 암호화한 후에 메모리 상에서 실행시켜 주는 도구이다. 공격자는 “Create.exe”를 통해 악성코드를 “main.txt”라는 이름으로 암호화하여 유포하는 방식으로 AntiVirus 제품의 파일 진단을 우회할 수 있으며 이후 RingQ를 실행하면 암호화된 악성코드 즉 “main.txt”를 메모리 상에서 실행시켜 준다.

해당 공격자의 최종적인 목적은 첫 번째 사례와 동일하게 코인 마이너를 설치하는 것이다. 공격자가 업로드한 Aspx 파일들 대부분은 웹쉘이지만 이외에도 다운로더 기능을 담당하는 Aspx 악성코드도 존재한다. 해당 악성코드는 외부에서 “aspx.exe”라는 이름의 추가 페이로드를 다운로드해 실행한다. “aspx.exe”는 다운로더로서 XMRig 코인 마이너를 다운로드해 메모리 상에서 실행하는 악성코드이다.

Mining Pool
c3.wptask[.]cyou:33333
sky.wptask[.]cyou:9999
auto.c3pool[.]org:33333
auto.skypool[.]xyz:9999
141.11.89[.]42:8443
141.11.89[.]42:995
141.11.89[.]42:465
45.147.51[.]78:465
45.147.51[.]78:995
45.130.22[.]219:995
45.130.22[.]219:465
info.perflogs[.]top:995
pop3.wptask[.]cyou:995
smtp.wptask[.]cyou:465

Table 2. 두 번째 공격 사례에서 사용된 마이닝 풀 주소

3. 결론

웹 서버를 대상으로 하는 공격은 지속적으로 발생하고 있으며 최근에는 국내 의료 기관을 대상으로 한 공격 사례가 확인되었다. 공격은 며칠 간격으로 두 차례 발생하였으며 여러 가지 정황들에 따르면 두 공격 사례 모두 공격자는 중국어 사용자로 보이며 최종적인 목적은 코인 마이너를 이용해 가상 화폐를 채굴하는 것이었다. 물론 설치한 웹쉘 및 NetCat을 통해 원격 제어가 가능하며 이외에도 RDP 접속을 목적으로 프록시 도구들을 설치한 것을 보면 공격자에 의한 정보 유출 또한 발생할 수 있다.

관리자는 웹 서버에 존재하는 파일 업로드 취약점을 점검하여 초기 침투 경로인 웹셸 업로드를 사전에 막을 수 있도록 해야 한다. 그리고 비밀번호를 주기적으로 변경하고 접근 제어를 설정하여 탈취된 계정 정보를 이용한 측면 이동 공격에 대응해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– WebShell/ASP.Agent.SC200079 (2024.06.17.02)
– WebShell/ASP.Agent.SC199712 (2024.05.24.00)
– WebShell/ASP.Agent.SC199713 (2024.05.24.00)
– WebShell/ASP.Agent.SC199714 (2024.05.24.00)
– WebShell/ASP.Agent (2024.05.24.00)
– Downloader/ASP.Malurl.SC199711 (2024.05.24.00)
– WebShell/JSP.Behinder.SC188179 (2023.05.12.01)
– WebShell/ASP.Generic.S2184 (2023.03.22.03)
– WebShell/ASP.ASpy.S1362 (2021.02.02.07)
– WebShell/ASP.Generic.S1855 (2022.06.16.00)
– WebShell/ASP.Small.S1378 (2021.02.24.02)
– WebShell/ASP.Small.S1400 (2021.03.16.02)
– WebShell/ASP.Generic.S1422 (2021.03.30.03)
– WebShell/ASP.Generic.S1775 (2022.04.14.00)
– HackTool/Win.BadPotato.C4177837 (2023.09.01.00)
– Downloader/Win.Miner.C5626012 (2024.05.27.00)
– Trojan/Win.Potato.C5626014 (2024.05.27.00)
– HackTool/Win.Frpc.C5626022 (2024.05.27.00)
– HackTool/Win.Cpolar.C5641794 (2024.06.17.03)
– Trojan/Win.Miner3.R647471 (2024.05.08.02)
– Unwanted/Win.NSSM.C5625980 (2024.05.27.00)
– Downloader/Win.Miner.C5625979 (2024.05.27.00)
– HackTool/Win.RingQ.C5625987 (2024.05.27.00)
– Dropper/Win.Generic.C5624814 (2024.05.24.00)
– Trojan/Win.Generic.C5501120 (2023.10.06.03)
– Trojan/Win.AddUser.R649913 (2024.05.27.00)
– Trojan/Win.Generic.C5584377 (2024.02.05.02)
– Trojan/Win.MSILMamut.C5410538 (2023.04.13.01)
– HackTool/Win.Cpolar.C5641787 (2024.06.17.03)
– Exploit/Win.PrintNotifyPotato.R561362 (2023.08.14.00)
– HackTool/Win.Frpc.C5641788 (2024.06.17.03)
– HackTool/Win.Htran.C5626020 (2024.05.27.00)
– Exploit/Win.Consoler.R548809 (2023.01.05.03)
– HackTool/Win.LCX.C5626011 (2024.05.27.00)
– HackTool/Win32.Earthworm.C2185399 (2017.10.10.07)
– HackTool/Win.Netcat.C5355532 (2023.01.11.02)
– HackTool/Win.Netcat.C5283500 (2022.10.18.03)
– Trojan/XML.Runner (2024.06.18.00)
– CoinMiner/BAT.Agent (2024.06.18.00)
– Trojan/BAT.AddUser (2024.06.18.00)
– Trojan/BAT.AddUser (2024.06.18.00)
– HackTool/Script.Frpc (2024.06.18.00)

행위 진단
– Malware/MDP.Download.M1900
– Execution/MDP.NetCat.M4516

MD5

10b6e46e1d4052b2ad07834604339b57

10cf4d43163ee395ddad1fe7e777e2c9

1fdb1dd742674d3939f636c3fc4b761f

205e6247f5a0dce8a55910354c816a61

2183043b19f4707f987d874ce44389e3

URL

http[:]//1[.]119[.]3[.]28[:]7455/

http[:]//14[.]19[.]214[.]36/11[.]exe

http[:]//14[.]19[.]214[.]36/RingQ[.]exe

http[:]//14[.]19[.]214[.]36/aa[.]aspx

http[:]//14[.]19[.]214[.]36/ew[.]exe