RAT 악성코드들을 설치하는 MySQL 서버 대상 공격 사례
AhnLab SEcurity intelligence Center(ASEC)은 부적절하게 관리되고 있는 서비스 대상 공격을 모니터링하고 있으며 MySQL 서버가 최근까지도 지속적인 공격 대상이 되고 있는 것을 확인하였다. 공격자는 외부에 노출된 불특정 다수의 시스템들을 공격하는 것으로 추정되며 이를 통해 국내에서도 다수의 시스템들이 악성코드들이 감염되고 있다.
공격에 사용되는 악성코드들은 Gh0stRAT 변종이 대부분을 차지하지만 과거 ASEC 블로그에서 공개한 바와 같이 AsyncRAT이나 [1] Ddostf DDoS Bot 악성코드를 설치한 사례가 확인되기도 하였다. [2] 최근에는 XWorm이나 HpLoader 그리고 정상 원격 제어 도구인 Zoho ManageEngine이 악용되고 있다. 원격 제어 도구인 Zoho Assist는 여러 랜섬웨어 공격자들이 악용한 사례들이 존재하지만 최근에는 Zoho사의 ManageEngine이 악용되고 있다는 점이 특징이다.
1. MySQL 서버 대상 공격
MySQL은 대표적인 데이터베이스 서버로서 기업이나 사용자 환경에서 대량의 데이터를 관리하는 기능을 제공한다. 일반적으로 윈도우 환경에서는 데이터베이스 서비스를 위해 주로 MS-SQL을 설치하며 리눅스 환경에서는 MySQL, PostgreSQL 등의 데이터베이스 서비스가 사용된다. 하지만 MySQL과 같은 DBMS는 윈도우 환경도 지원하기 때문에 MS-SQL 서버만큼은 아니지만 윈도우 환경에 설치된 사례도 일정 부분 존재한다. 이에 따라 윈도우 환경에서 동작 중인 MySQL 서버를 대상으로 하는 공격도 꾸준히 확인되고 있다.
공격자들은 MS-SQL 서버 대상 공격과 유사하게 스캐닝을 통해 MySQL 서버가 사용하는 3306/TCP 포트가 공개되어 있는 공격 대상을 찾고 무차별 대입 공격이나 사전 공격을 수행한다. 만약 부적절하게 계정 정보를 관리하고 있던 시스템일 경우 관리자 계정의 자격 증명 정보를 확보할 수 있으며 나아가 감염 시스템에 대한 제어를 탈취해 추가 페이로드를 설치할 수 있다.
Figure 1. MySQL 서버 프로세스에 의한 악성코드 설치 로그
2. UDF 악성코드
UDF(User Defined Function)는 사용자가 원하는 기능을 DLL에 구현한 것이며 공격자는 악의적인 명령이 포함된 UDF 라이브러리 즉 DLL을 감염 시스템에 업로드한 후 MySQL 서버에 로드시킨다. 이후 정의한 명령을 실행하는 방식으로 감염 시스템에 악성 명령을 전달할 수 있는데 이는 MS-SQL 서버의 CLR SqlShell과 유사하다.
실제 공격 대상 시스템의 감염 로그를 보면 감염 시스템에는 악성코드들 외에도 악성 UDF DLL이 함께 설치되는 것이 확인된다. 즉 공격자는 부적절하게 관리되고 있는 MySQL 서버를 공격하는 과정에서 UDF 악성코드를 도구로써 사용하고 있다.
가장 단순한 형태의 UDF 악성코드는 인자로 전달받은 명령을 실행하는 기능만 존재하지만 다음과 같이 인자로 전달받은 URL에서 파일을 다운로드하고 실행하는 기능을 지원하는 경우도 존재한다. 이외에도 UDF DLL 자체가 Stager처럼 C&C 서버로부터 전달받은 페이로드를 메모리상에서 실행하는 유형도 있다. 해당 유형은 C&C 서버에 연결한 이후 “mylogin”을 전송하는데 현재 기준 C&C 서버와의 접속이 불가하여 어떤 악성코드기 동작하는지는 알 수 없다.
Figure 2. 다양한 기능을 담당하는 UDF 악성코드들
3. Gh0stRAT
MySQL 서버 대상 공격 사례에서 확인되는 악성코드들 중 대부분은 UDF와 Gh0stRAT 변종이다. 눈에 띄는 점은 MS-SQL 서버 대상 공격에서 사용되는 Gh0stCringe나 [3] HiddenGh0st [4] 같은 유형이 MySQL 서버 대상 공격 사례에서도 함께 확인된다는 점이다.
최근 공격 사례에서 사용된 Gh0stRAT 변종은 내부적으로 UACMe의 특정 명령을 추출하여 제작한 권한 상승 도구를 포함하고 있는 것이 특징이며 스크린을 캡쳐해 다음 경로에 저장한다.
– 스크린샷 저장 경로 : %ALLUSERSPROFILE%\quickScreenShot\[Date]\[Date+Time].jpg
Figure 3. Gh0st RAT 클래스 이름
4. XWorm
XWorm은 2022년 최초로 확인된 RAT 악성코드로서 처음에는 Malware as a Service (MaaS) 형태로 판매되었다. 하지만 크랙된 버전이 공개된 이후 다양한 공격자들에 의해 사용되고 있다. 실제 ASEC 블로그에서도 웹하드에서 싱인 게임을 위장해 유포한 사례나 [5] 국세청 위장 및 해외 유명 배송업체 사칭 등 스팸 메일을 통해 유포되는 다수의 사례들을 공개한 바 있다. [6] [7] [8]
XWorm은 RAT 악성코드이기 때문에 파일, 프로세스 작업, 명령 실행과 같은 원격 제어 기능들을 지원한다. 이외에도 자격 증명 정보 수집, DDoS 공격, USB를 통한 전파, 암호 화폐 지갑 주소에 대한 클립보드 하이재킹 등 다양한 기능들을 제공하는 것이 특징이다.
Figure 4. 공격에 사용된 XWorm의 설정 데이터
5. HpLoader
또 다른 공격에서는 UDF 라이브러리가 설치된 이후 Downloader가 설치되었다. 비록 분석 시점에서는 접속이 불가하여 어떤 페이로드를 다운로드하는지는 알 수 없지만 동일한 유형이 과거 Gh0stRAT을 다운로드했던 정황이 존재한다. 해당 유형은 2023년 5월 최초로 확인된 이후 현재까지도 사용되고 있으며 C&C 서버와 최초 통신 시 “hp_socket” 문자열을 전송하는 것이 특징이다.
Figure 5. 공격에 사용된 HpLoader
6. Zoho ManageEngine
최근 공격자들은 보안 제품에 의한 탐지를 우회하기 위해 상용 원격 제어 도구들을 악용하고 있으며 이에 따라 백도어 악성코드를 설치하지 않더라도 원격 제어 소프트웨어를 통해 감염 시스템을 제어할 수 있다. 대표적으로 Zoho사의 Zoho Assist는 랜섬웨어나 APT 공격자들이 감염 시스템을 제어하기 위한 목적으로 악용한 사례들이 존재한다. 이번에 확인된 공격 사례는 Zoho Assist가 아닌 ManageEndpoint 제품이 악용되고 있는 것이 특징이다. MySQL 서버를 통해 설치된 드로퍼는 내부에 UEMS(Unified Endpoint Management System) Agent 설치 파일과 설치 스크립트를 포함하고 있으며 각각 “C:\PerfLogs\Install.bat”, “C:\PerfLogs\Server_Agent.exe”에 설치한다. 이후 설치 스크립트를 이용해 감염 시스템에 Agent를 Silent 모드로 설치한다.
Zoho 클라우드를 활용하는 Zoho Assist와 달리 공격자는 UEMS는 제품을 On-premise 방식으로 설치되는 것으로 보인다. 실제 UEMS Agent 설치 과정에서 확인되는 원격 제어 서버의 주소는 MySQL 서버가 드로퍼를 다운로드하는 주소 “hxxp://star.zcnet[.]net:7766/Server.exe”와 동일한 도메인이다.
Figure 6. Zoho ManageEngine UEMS Agent의 서버 주소
즉 공격자는 관리 서버를 구축한 이후 Agent를 감염 시스템에 유포하였고 설치된 Agent는 공격자의 서버에 연결되어 이후 공격자에 의해 제어가 탈취당할 수 있다.
7. 결론
윈도우 환경에 설치된 MySQL 서버를 대상으로 지속적인 공격 사례들이 확인되고 있다. 공격자들은 감염 시스템에 대한 제어를 탈취하기 위해 UDF 악성코드뿐만 아니라 Gh0stRAT, XWorm, HpLoader, Zoho ManageEngine 등 다양한 악성코드들을 설치하고 정상 소프트웨어를 악용하고 있다.
관리자는 반드시 필요한 경우가 아니라면 외부에 MySQL 포트 노출을 제한하고 보안 장비를 활용해 접근 IP를 제한해야 한다. 그리고 계정/비밀번호 정책을 강화하고 MySQL 서버의 권한을 최소화해야 한다. 마지막으로 MySQL 및 OS를 최신 버전으로 패치하여 알려진 취약점 공격으로부터 보호해야 한다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
