2024년 3분기 MS-SQL 대상 악성코드 통계 보고서

목차 개요 통계 1. MS-SQL 서버 대상 공격 현황 2. 공격에 사용된 악성코드 분류 2.1. Trojan 2.2. HackTool 2.3. Backdoor 2.4. CoinMiner 2.5. Downloader & Ransomware 결론

 

개요

 

ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 3분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다. 악성코드들은 CoinMiner, Backdoor, Trojan, Ransomware, HackTool과 같은 유형 별로 분류한 후, 각 유형에 대해서도 알려진 악성코드들에 대해서는 구체적인 통계를 함께 제공한다.

 

2024년 3분기에 확인된 새로운 공격으로는 GotoHTTP를 악용한 공격 사례가 있다.   GotoHTTP는 다른 원격 제어 도구들과 동일하게 원격 화면 제어를 제공하는 도구로서 감염 시스템에 GotoHTTP를 설치한 후 “Computer Id”와 “Access Code”를 알 수 있다면 이를 이용해 원격에서 시스템을 제어할 수 있다. GotoHTTP가 실행되면 동일한 경로에 “gotohttp.ini”라는 이름의 설정 파일을 생성하는데 여기에는 “Computer Id”와 “Access Code”가 저장되어 있다. 공격자는 감염 시스템에 GotoHTTP를 설치한 이후 생성된 “gotohttp.ini”를 탈취하여 원격에서 접속하였을 것으로 추정된다.

 

[그림 1] GotoHTTP 웹 사이트

 

공격 대상이 된 시스템은 외부에 공개되어 있으며 취약한 자격 증명 정보를 사용하는 것으로 추정된다. 공격자는 최초 침투 이후 먼저 CLR SqlShell을 설치하였다. SqlShell은 웹 서버에 설치될 수 있는 WebShell과 유사하게 MS-SQL 서버에 설치되어 공격자의 명령을 실행하거나 다양한 악의적인 행위를 수행할 수 있는 기능을 지원하는 도구이다.

 

공격자는 설치한 SqlShell을 이용해 감염 시스템의 정보를 조회하는 명령들을 실행하였으며, 이후 PetitPotato, SweetPotato, JuicyPotato, GodPotato, PrintNotifyPotato, LocalAdminSharp 등 권한 상승을 위한 도구들과 사용자 계정을 설정하거나 추가하는 악성코드들을 설치하였다.

 

[그림 2] 공격자의 명령을 실행하는 MS-SQL 서버

 

여기까지의 과정이 끝난 이후 공격자는 GotoHTTP를 설치하였으며 이와 동시에 기존에 존재하는 사용자 계정의 비밀번호를 재설정하거나 사용자 계정을 추가하는 기능을 담당하는 악성코드를 함께 설치하기도 하였다. 이렇게 추가된 백도어 계정은 이후 공격자가 RDP를 이용한 원격 제어에 사용할 수 있다.

 

 

통계

 

1. MS-SQL 서버 대상 공격 현황

 

다음은 2024년 3분기에 자사 ASD 로그를 통해 확인된 MS-SQL 서버 대상 공격에 대한 통계이다.