2024년 3분기 MS-SQL 대상 악성코드 통계 보고서
목차개요통계1. MS-SQL 서버 대상 공격 현황2. 공격에 사용된 악성코드 분류2.1. Trojan2.2. HackTool2.3. Backdoor2.4. CoinMiner2.5. Downloader & Ransomware결론 개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 3분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의
GotoHTTP를 악용한 MS-SQL 서버 대상 공격 사례
AhnLab SEcurity intelligence Center(ASEC)에서는 부적절하게 관리되고 있는 MS-SQL 서버를 모니터링하고 있으며 최근 GotoHTTP를 악용한 공격 사례를 확인하였다. 1. GotoHTTP 원격 제어 도구는 원격에서 시스템을 제어하기 위한 목적으로 사용되는 도구로서 원격 데스크톱, 파일 전송 등의 기능을 제공한다. 유명한 원격 제어 도구들로는 AnyDesk, ToDesk, RuDesktop, TeamViewer, AmmyyAdmin 등이 있다.
2024년 2분기 MS-SQL 대상 악성코드 통계 보고서
개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 2분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를
SoftEther VPN을 설치하는 국내 ERP 서버 대상 공격 사례 분석
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 기업의 ERP 서버를 공격하여 VPN 서버를 설치하는 공격 사례를 확인하였다. 공격자는 최초 침투 과정에서 MS-SQL 서비스를 공격하였으며 이후에는 웹쉘을 설치하여 지속성을 유지하고 감염 시스템을 제어하였다. 여기까지의 과정이 끝난 후에는 감염 시스템을 VPN 서버로 활용하기 위해 최종적으로 SoftEther VPN 서비스를 설치한 것이 특징이다. 1. Proxy
AhnLab EDR을 활용한 MS-SQL 서버 대상 공격 탐지
외부 인터넷에 공개되어 있으면서 단순한 형태의 암호를 사용하고 있는 MS-SQL 서버는 윈도우 시스템을 대상으로 하는 대표적인 공격 벡터 중 하나이다. 공격자들은 부적절하게 관리되고 있는 MS-SQL 서버를 찾아 스캐닝 한 후 무차별 대입 공격이나 사전 공격을 통해 관리자 권한으로 로그인할 수 있다. 여기까지의 과정이 끝나면 공격자들은 다양한 방식을 통해 악성코드를 설치하여
2024년 1분기 MS-SQL 대상 악성코드 통계 보고서
개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 1분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
2023년 4분기 MS-SQL 대상 악성코드 통계 보고서
개요 ASEC 분석팀에서는 자사 ASD 인프라를 활용하여 취약한 MS-SQL 서버를 대상으로 하는 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2023년 4분기에 확인된 로그를 기반으로 공격 대상이 된 MS-SQL 서버들의 피해 현황과 해당 서버들을 대상으로 발생한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
MS-SQL 서버 대상 Proxyjacking 공격 사례 분석
AhnLab Security Emergency response Center(ASEC)은 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 하는 Proxyjacking 공격 사례를 확인하였다. 외부에 공개되어 있으면서 단순한 형태의 암호를 사용하고 있는 MS-SQL 서버들은 윈도우 시스템을 대상으로 하는 대표적인 공격 벡터 중 하나이다. 일반적으로 공격자들은 부적절하게 관리되고 있는 MS-SQL 서버를 찾아 무차별 대입 공격이나 사전 공격을 통해
MS-SQL 서버 공격에 사용되는 CLR SqlShell 분석
본 블로그에서는 MS-SQL 서버를 대상으로 하는 공격에 사용되는 CLR SqlShell 악성코드들을 분석한다. SqlShell은 웹 서버에 설치될 수 있는 WebShell과 유사하게 MS-SQL 서버에 설치되어 공격자의 명령을 실행하거나 다양한 악의적인 행위를 수행할 수 있는 기능을 지원하는 악성코드이다. MS-SQL 서버에서는 확장된 기능을 사용할 수 있도록 CLR Stored Procedure라고 하는 방식을 지원하는데, SqlShell은 이러한
MS-SQL 서버를 공격 중인 Trigona 랜섬웨어
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 Trigona 랜섬웨어가 설치되고 있는 것을 확인하였다. Trigona는 상대적으로 최근이라고 할 수 있는 2022년 10월 최초로 확인된 랜섬웨어로서 최근 Unit 42에서도 CryLock 랜섬웨어와의 유사성을 바탕으로 보고서를 공개한 바 있다. [1] 1. 부적절하게 관리되고 있는 MS-SQL 서버 부적절하게 관리되고
