취약한 MS-SQL 서버 타깃으로 무차별 대입 공격이나 사전 공격 감행해 계정정보 탈취

안랩 ASEC 분석팀 “최근 다수의 코발트 스트라이크 로그 확인, 동일 공격자 소행 추정”

[보안뉴스 권 준 기자] 최근 코발트 스트라이크 악성코드가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인했다고 안랩 ASEC 분석팀이 밝혔다.

MS-SQL 서버는 윈도우 환경의 대표적인 데이터베이스 서버로서 과거부터 꾸준히 공격자들의 공격 대상이 되고 있다. MS-SQL 서버를 대상으로 하는 공격으로는, 취약점이 패치되지 않은 환경에 대한 공격 외에도 부적절하게 관리되고 있는 서버에 대한 무차별 대입 공격인 브루트 포스(Brute Forcing) 공격이나 사전 공격(Dictionary Attack)이 있다.

​

▲코발트 스트라이크 설정 데이터[자료=안랩 ASEC 분석팀]

일반적으로 공격자 또는 악성코드는 1433번 포트에 대한 스캐닝 과정을 통해 외부에 오픈된 MS-SQL 서버들을 확인한다. 이후 관리자 계정 즉 ‘sa’ 계정에 대해 무차별 대입 공격이나 사전 공격을 수행해 로그인을 시도하게 된다. 또한, 외부에 MS-SQL 서버가 오픈되어 있는 형태가 아니라고 하더라도, 레몬덕(Lemon_Duck) 악성코드와 같이 내부 네트워크에서 측면 이동을 목적으로 1433번 포트 스캐닝 및 전파하는 유형도 존재한다는 게 안랩 ASEC 분석팀 측의 설명이다.

즉, 관리자 계정 정보를 무차별 대입 및 사전 공격에 취약한 형태로 관리하거나 일정 주기로 변경하지 않으면 MS-SQL 서버는 공격자의 주요 타깃이 될 수 있다. 이러한 MS-SQL 서버를 공격 대상으로 하는 악성코드들로는 레몬덕 외에도 Kingminer, Vollgar와 같은 코인 마이너 악성코드들이 존재한다.

이러한 과정을 통해 공격자가 관리자 계정으로 로그인에 성공하면 xp_cmdshell 명령을 포함한 다양한 방식들을 이용해 감염 시스템에서 명령을 실행시킬 수 있다. 현재 확인된 코발트 스트라이크 악성코드는 MS-SQL 프로세스에 의해 cmd.exe 및 powershell.exe을 거쳐 다운로드 된 것으로 분석됐다.

코발트 스트라이크는 상용 침투 테스트 도구로, 최근에는 APT 및 랜섬웨어를 포함한 대다수의 공격들에서 내부 시스템 장악을 위한 중간 단계로 사용되고 있다. 현재 확인된 악성코드는 인젝터로서 내부에 포함된 인코딩된 코발트 스트라이크를 디코딩한 후 정상 프로그램인 MSBuild.exe를 실행하고 인젝션한다.

MSBuild.exe에서 실행되는 코발트 스트라이크는 추가적인 옵션이 설정되어 있는데, 보안 제품의 진단을 우회하기 위한 목적으로 정상 dll인 wwanmm.dll을 로드한 후, 해당 dll의 메모리 영역에 비컨을 쓰고 실행하는 방식으로 드러났다. 이에 따라 공격자의 명령을 전달받아 악성 행위를 수행하는 비컨이 의심스러운 메모리 영역에 존재하지 않고 정상 모듈 wwanmm.dll에서 동작함에 따라 메모리 기반의 진단을 우회할 수 있다는 것이다.

공격자가 어떠한 방식으로 MS-SQL를 장악하고 악성코드를 설치했는지 여부는 정확히 확인되지 않았지만, 해당 시스템도 계정정보가 부적절하게 관리되고 있는 시스템으로 추정된다.

안랩 ASEC 분석팀은 “자사의 ASD 인프라에 따르면 최근 한 달 사이만 해도 다수의 코발트 스트라이크 로그들을 확인할 수 있었는데, 다운로드 주소 및 명령제어(C&C) 서버의 주소가 유사한 점을 보면 대부분 동일한 공격자의 공격으로 추정된다”며, “안랩 제품에서는 코발트 스트라이크를 활용한 첫 침투 단계부터 내부 확산 시 사용되는 비컨 백도어에 대해 프로세스 메모리 기반의 탐지 방식과 행위 기반의 탐지 기술을 보유하고 있다”고 설명했다.

[권 준 기자(editor@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=104733&page=2&mkind=1&kind=1)]​