2025년 4분기 윈도우 웹 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center (ASEC)에서는 자사 AhnLab Smart Defense(ASD) 인프라를 활용하여 부적절하게 관리되고 있는 윈도우 웹 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 이 글에서는 이 글에서는 2025년 4분기에 확인된 로그를 기반으로 공격 대상이 된 윈도우 웹 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
1. 윈도우 웹 서버 대상 공격 현황
다음은 2025년 4분기에 자사 ASD 로그를 통해 확인된 윈도우 웹 서버 대상 공격에 대한 통계이다.
[그림 1] 2025년 4분기 윈도우 웹 서버 대상 공격 현황
웹쉘을 제외하면 공격에 가장 많이 사용되는 악성코드들로는 Potato와 같은 권한 상승 도구들 및 Proxy 악성코드들이 있다. 공격자는 공격 과정 즉 감염 시스템에 대한 제어를 탈취하는 과정에서 이러한 도구들을 활용한다. 이러한 도구들을 제외하면 XMRig를 설치하는 코인 마이너가 대부분을 차지한다.
2. 2025년 4분기 공격 사례
윈도우 웹 서버를 대상으로 하는 공격은 과거부터 지속적으로 이루어지고 있으며 2025년 4분기에는 Andariel 그룹의 TigerRAT 공격 사례가 확인되었다. TigerRAT은 백도어로서 과거부터 Andariel 공격자가 감염 시스템을 제어하기 위한 목적으로 사용해 왔다. 2024년 이후부터는 TigerRAT이 공격에 사용된 사례가 거의 확인되지 않고 있었지만 2025년 10월 공격 사례에서 다시 확인된 것이 특징이다. 공격자는 IIS 웹 서버를 공격해 악성 명령을 실행하였다. 최초 침투 방식은 알 수 없지만 IIS 서버 즉 “w3wp.exe” 프로세스에 의해 공격자의 명령이 실행된 것을 보면 웹쉘을 설치해 감염 시스템을 제어했을 것으로 보인다. 공격자는 다음과 같은 명령들을 이용해 정보를 수집하였다.
> query
> whoami
> qwinsta
> netstat -naop tcp
> tasklist
> systeminfo
> ipconfig /all
> query user
> appcmd list apppool
[그림 2] IIS 웹 서버에 의해 실행된 공격자의 명령
이후 파워쉘을 악용해 외부에서 추가 페이로드를 다운로드하였다. 다운로드되는 파일들로는 TigerRAT 외에도 ProcDump, PetitPotato, PrintSpoofer 등 여러 도구들이 있다.
TigerRAT은 C&C 서버에서 공격자의 명령을 전달받아 수행할 수 있는 백도어로서 명령 실행 외에도 키로깅, Socks 터널링, 스크린 캡쳐 등의 기능을 지원한다. 공격에 사용된 TigerRAT 또한 이전 사례와 동일한 유형이다.
[그림 3] TigerRAT의 클래스 이름
TigerRAT의 특징 중 하나는 C&C 서버와의 통신 시 특정 문자열을 보낸 후 응답받은 문자열을 검사하는 인증 과정을 먼저 거친다는 점인데 여기에 사용되는 인증 문자열도 과거와 동일하다.
- 요청 문자열 : “HTTP 1.1 /index.php?member=sbi2009 SSL3.3.7”
- 응답 문자열 : “HTTP 1.1 200 OK SSL2.1”
[그림 4] C&C 서버와의 통신 패킷
공격자는 설치한 TigerRAT을 이용해 원격 데스크톱 서비스에 대한 이벤트를 조회하였으며 이후에는 윈도우 이벤트 로그들을 삭제하였다. 이외에도 PrintSpoofer와 PetitPotato를 사용하였으며, 자격 증명 정보를 탈취하는 과정에서는 ProdDump를 악용하였다.
