TargetCompany 공격자의 Remcos RAT을 이용한 MS-SQL 서버 공격 사례 분석 보고서
개요
AhnLab SEcurity intelligence Center(ASEC)은 부적절하게 관리되고 있는 MS-SQL 서버에 대한 공격을 모니터링하고 있다. 인터넷에 공개되어 있으며 무차별 대입 공격 및 사전 공격에 취약한 계정 정보들을 대상으로 하는 공격자들 중에는 대표적으로 TargetCompany 공격자 있다.
TargetCompany 공격자는 MS-SQL 서버를 대상으로 수년간 지속적으로 랜섬웨어를 설치하고 있으며 대표적으로 Mallox 랜섬웨어와 BlueSky 랜섬웨어를 사용한다. ASEC에서는 과거 “TargetCompany 공격자의 MS-SQL 서버 공격 사례 분석 (Mallox, BlueSky 랜섬웨어)” 블로그를 통해 최근 확인된 TargetCompany 공격자의 랜섬웨어 공격 사례를 다루었다.
TargetCompany 공격자는 MS-SQL 서버에 침투한 이후 추가적인 악성코드 설치 없이 랜섬웨어를 설치하여 시스템을 암호화하기도 하지만 Remcos RAT과 같은 백도어 악성코드를 먼저 설치하기도 한다. 최근 1년간의 모니터링 기간 동안 MS-SQL 서버에 최초로 설치되는 악성코드는 Remcos RAT인 경우가 대부분이다.
본 보고서에서는 최근 1년간 확인된 TargetCompany 공격자의 악성코드들의 IoC를 공개한다.
공격 사례 분석
1. MS-SQL 서버 대상 공격
외부 인터넷에 공개되어 있으면서 단순한 형태의 암호를 사용하고 있는 MS-SQL 서버들은 윈도우 시스템을 대상으로 하는 대표적인 공격 벡터 중 하나이다. 공격자들은 부적절하게 관리되고 있는 MS-SQL 서버를 찾아 스캐닝 한 후 무차별 대입 공격이나 사전 공격을 통해 관리자 권한으로 로그인할 수 있다. 여기까지의 과정이 끝나면 공격자들은 다양한 방식을 통해 악성코드를 설치하여 감염 시스템에 대한 제어를 획득할 수 있다.
공격자가 MS-SQL 서버에 관리자 계정으로 로그인한 이후 실질적으로 악성코드를 설치하는 데 사용할 수 있는 방식으로는 대표적으로 xp_cmdshell 명령이 있으며, 해당 명령을 통해 윈도우 환경에서도 동작할 수 있는 악의적인 명령을 실행할 수 있다. 이외에도 OLE Stored Procedure, MS-SQL Agent Jobs, Extended Stored Procedure 또는 CLR Stored Procedure 등을 활용하는 방식도 존재한다.
Figure 1. 파워쉘 명령을 이용한 악성코드 설치
