2024년 1분기 MS-SQL 대상 악성코드 통계 보고서

개요

ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 1분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다. 악성코드들은 CoinMiner, Backdoor, Trojan, Ransomware, HackTool과 같은 유형 별로 분류한 후, 각 유형에 대해서도 알려진 악성코드들에 대해서는 구체적인 통계를 함께 제공한다.

 

2024년 1분기에 확인된 새로운 공격으로는 Trigona 랜섬웨어 공격 사례가 있다. Trigona 랜섬웨어 공격자는 2022년 경부터 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 공격 중이다. 하지만 이번에 확인된 공격은 Mimic 랜섬웨어를 함께 사용하였다는 점과 MS-SQL 서버의 BCP(Bulk Copy Program) 유틸리티를 악용했다는 점이 특징이다.

 

BCP(Bulk Copy Program) 유틸리티인 bcp.exe는 MS-SQL 서버에서 대량의 외부 데이터를 가져오거나 내보내는데 사용되는 커맨드 라인 도구이다. 일반적으로 SQL 서버의 테이블에 저장된 대량의 데이터를 로컬의 파일로 저장하거나 로컬에 저장된 데이터 파일을 SQL 서버의 테이블에 내보내는데 사용된다.

 

일반적으로 MS-SQL 서버를 공격하는 공격자는 악성코드 다운로드 시 파워쉘 명령을 이용하며 최근에는 SQL 서버에 포함되어 있는 파워쉘 도구인 SQLPS를 악용하기도 한다. 하지만 이번 공격 사례에서 공격자는 데이터베이스에 악성코드를 저장한 이후 BCP를 이용해 로컬에 파일로 생성하는 방식을 사용하였다.

 

[그림 1] BCP를 이용한 악성코드 생성

 

통계

1. MS-SQL 서버 대상 공격 현황

다음은 2024년 1분기에 자사 ASD 로그를 통해 확인된 MS-SQL 서버 대상 공격에 대한 통계이다.