마이크로소프트의 SQL 11과 12버전 집중적으로 노리는 은밀한 백도어

[이미지 = iclickart]

이번에 발견된 멀웨어는 대단히 은밀해 탐지하는 것이 쉽지 않으며 다양한 기능을 가지고 있다고 한다. 또한 지난 주 이셋이 발견한 백도어인 포트리유즈(PortReuse)와 많은 부분 유사하다고 한다. 이름은 스킵2.0(skip-2.0)으로 가장 널리 쓰이는 MSSQL 서버 11과 12 버전을 집중적으로 공략한다. 비밀번호를 교묘하게 사용해 아무 MSSQL 계정과 연결할 수 있으며, 로그에 연결된 사실을 남기지 않아 탐지가 어렵다.

“이런 상태라면 백도어가 데이터베이스에 들락날락 거리면서 정보를 복제하든, 조작하든, 삭제하든 알 수가 없게 됩니다. 스킵2.0이 먼저 침투해 자리를 잡아주면 공격자는 갖가지 행위를 할 수 있게 됩니다. 심지어 인게임 머니나 특정 커뮤니티 내에서 유통되는 화폐의 가치를 조작해 금전적인 이득을 취할 수도 있습니다.”

그렇다면 스킵2.0을 윈티가 사용하고 있다는 건 어떻게 알았을까? “포트리유즈라는 백도어를 시스템에 드롭시킬 때 사용되던 툴이 있습니다. VM프로텍티드(VMProtected)라는 일종의 런처인데요, 스킵2.0도 이 도구를 통해 퍼졌습니다. 그 외에도 윈티 해커들만의 고유한 패커 등이 발견되기도 했습니다.”

이셋 측은 VM프로텍티드 런처가 DLL 하이재킹 취약점들 중 하나를 공략해 공격 지속성을 확보하는 것으로 예상하고 있다. “DLL 하이재킹이란, 공격자들이 표준 SessionEnv 서비스를 통해 악성 라이브러리를 로딩하는 것으로, 윈티는 포트리유즈와 셰도우패드(ShadowPad)라는 멀웨어를 이런 식으로 퍼트리곤 했습니다.”

또한 MSSQL 서버의 프로세스인 sqlserv.exe를 찾는 데에, 예전부터 윈티의 무기로 알려진 이너로더(Inner-Loader)라는 인젝터가 사용되기도 했다. 이 인젝터는 skip-2.0.dll이라는 파일을 해당 프로세스에 주입하는 역할을 담당했다. 다음으로 스킵2.0은 자신이 sqlserv.exe 프로세스 내에서 실행되고 있는지 확인하고, sqllang.dll을 로딩한다. 이 안에는 여러 가지 기능들이 포함되어 있는데, 이 기능을 바탕으로 공격을 실시한다. 이런 과정이 포트리유즈 당시에 발견됐던 것과 상당히 비슷하다고 한다.

스킵2.0 백도어는 인증과 이벤트 로깅과 관련된 기능들을 표적으로 삼아 공격한다. 여기에는 사용자가 제공한 비밀번호를 확인하는 데 사용되는 CPwdPolicyManager::ValidatePwdForLogin도 포함되어 있다. 여기에 “마법의 비밀번호”라는 것이 확인되면 원래 함수는 호출되지 않고, 0이라는 값을 되돌린다. “즉 올바른 비밀번호가 입력되지 않았는데도 연결이 성립한다는 것입니다.”

이 특수한 비밀번호를 사용함으로써 공격자들은 공격 지속성을 갖추게 될 뿐만 아니라 로그와 이벤트 처리 기능으로부터 무시되기도 한다. 즉 기록이 남지 않는다는 것이다. “이 때문에 탐지가 되지 않습니다. 이 비밀번호만 사용하면 유령이 되어 시스템을 돌아다닐 수 있게 되는 겁니다.”

이셋은 “윈티가 매우 흥미로운 무기를 새롭게 갖추게 됐다”며, “이전에 윈티가 사용했던 다양한 무기들과 비슷한 점들이 많다”고 설명한다. “여러 가지를 살폈을 때 윈티가 예전부터 보유하고 있던 다양한 해킹 도구들과 조합해서 사용하기 위해 개발한 것으로 보입니다. 스킵2.0은 이미 침해된 MSSQL 서버들에 침투해 공격자들이 지속적으로 공격할 수 있는 통로를 몰래 확보하는 역할을 하는 도구로 사용될 가능성이 높습니다.”

3줄 요약

1. 스킵2.0이라는 새로운 백도어 발견됨.

2. 마법의 비밀번호 사용해서, 로그에도 남지 않고 탐지도 되지 않은 채 백도어 기능 발휘.

3. 중국의 해킹 그룹 윈티가 새롭게 개발한 백도어 툴로 보임. 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=83972&page=1&mkind=1&kind=1]​