2025년 3분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center(ASEC)에서는 자사 ASD 인프라를 활용하여 윈도우 운영체제에 설치된 MS-SQL 서버 및 MySQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 3분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 및 MySQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
1. 윈도우 데이터베이스 서버 대상 공격 현황
다음은 2025년 3분기에 자사 ASD 로그를 통해 확인된 MS-SQL 서버 대상 공격에 대한 통계이다. 공격 대상이 되는 시스템들의 수와 공격 수량 모두 지속적으로 감소하는 추세이다.
[그림 1] 2025년 3분기 MS-SQL 서버 대상 공격 현황
공격에 사용된 악성코드 유형 대부분은 공격자의 명령을 실행하는데 악용되는 CLRShell이나 권한 상승 기능을 담당하는 Potato 류의 악성코드들이다. 하지만 이외에도 감염 시스템의 자원을 이용해 암호 화폐를 채굴하는 CoinMiner, 이와 유사하게 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하여 수익을 창출하는 Proxyware가 있다. 또한 Gh0stRAT이나 CobaltStrike, Meterpreter와 같은 백도어들을 설치하여 감염 시스템에 대한 제어를 탈취하는 사례들도 존재한다. 최근에는 이러한 백도어 외에도 AnyDesk나 RustDesk와 같은 정상 원격 제어 애플리케이션을 설치하는 경우도 확인되고 있다.
2. 2025년 3분기 공격 사례
2025년 3분기에는 MS-SQL 서버를 대상으로 하는 공격들 중에서 XiebroC2를 이용한 공격 사례를 다루었다. XiebroC2는 소스 코드가 공개된 C2 프레임워크로서 CobaltStrike와 유사하게 정보 수집, 원격 제어, 방어 회피와 같은 다양한 기능들을 지원한다. [1]
공격이 확인된 시스템은 외부에 공개되어 있으며 취약한 자격 증명 정보를 사용하는 것으로 추정된다. 해당 시스템은 이미 다양한 악성코드들의 설치 시도가 확인되었으며 일반적인 MS-SQL 서버 대상 공격 사례들처럼 주로 코인 마이너가 확인되었다.
공격자는 SA 계정으로 로그인에 성공한 이후 JuicyPotato를 설치하였다. 참고로 MS-SQL 서비스의 경우 이름 담당하는 프로세스들이 취약점이나 부적절한 설정에 의해 공격자의 명령을 실행할 수 있다고 하더라도 기본 설정에 의해 낮은 권한을 가지고 실행 중임에 따라 해당 프로세스의 권한으로 실행되는 악성코드 또한 추가적인 악성 행위를 수행하는 데 한계가 존재한다. 이에 따라 공격자들은 Potato 악성코드들을 주로 사용하는데 현재 실행 중인 프로세스 계정의 토큰들 중 특정 권한을 악용하는 방식으로 권한을 상승시켜 주기 때문이다.
JuicyPotato를 설치한 이후에는 파워쉘을 이용해 XiebroC2를 다운로드하였다.
[그림 2] XiebroC2를 다운로드하는 MS-SQL 서비스
XiebroC2는 CobaltStrike와 유사한 C2 프레임워크로서 소스 코드가 공개되어 있다. 실제 백도어 기능을 담당하는 Implant는 Go 언어로 작성되었으며 멀티 플랫폼 즉 윈도우, 리눅스, macOS 운영체제를 지원한다. 공격자는 감염 시스템에 설치된 XiebroC2를 이용해 리버스 쉘, 파일 및 프로세스 관리, 네트워크 모니터링과 같은 원격 제어 및 리버스 프록시 그리고 스크린샷 등의 기능을 사용할 수 있다.
[그림 3] XiebroC2의 패널 (깃허브)
XiebroC2에는 다음과 같은 형태의 설정 정보가 존재한다. 실행 후에는 PID, HWID, 컴퓨터 이름, 사용자 이름과 같은 정보를 수집하고 C&C 서버와 연결 후 공격자의 명령을 수행할 수 있다.
- HostPort = “1.94.185[.]235:8433”
- Protocol = “Session/Reverse_Ws”
- ListenerName = “test2”
- AesKey = “QWERt_CSDMAHUATW”
