SQL을 통해 다운로드 받는 기법, 새로운 것은 아니나 흔한 것도 아니야

[이미지 = iclickart]

화이트셰도우가 처음 발견된 건 2019년 8월의 일이다. 크림슨(Crimson)이라는 원격 접근 트로이목마(RAT)의 한 변종을 배포하고 있었다. 최근 다시 나타난 화이트셰도우는 그 때보다 탐지 우회와 난독화 기술이 한층 보강된 상태라고 한다.

이 다운로더는 이메일에 첨부된 마이크로소프트 워드와 엑셀 문서를 통해 퍼진다. 피해자가 이 파일을 받아 매크로를 활성화시키면, SQL 요청들이 실행된다. 이 때 요청은 공격자가 통제하고 있는 SQL 서버 데이터베이스로 전송된다. 이 DB에는 멀웨어가 아스키(ASCII) 형태의 긴 문자열 상태로 저장되어 있다고 한다.

“매크로가 실행되면 긴 문자열이 서버로부터 날아옵니다. 그리고 PKZIP이라는 아카이브의 형태로 디스크에 저장되죠. 저장이 끝나면 아카이브가 실행되고, 악성 페이로드가 설치됩니다.” 프루프포인트의 설명이다.

최초로 발견된 화이트셰도우 캠페인과 현재의 캠페인 사이에는 뚜렷한 연관성이 나타나지 않고 있다. 당시에 화이트셰도우와 함께 발견됐던 크림슨 RAT는 소수의 몇몇 해킹 단체들만이 사용하던 것으로, 보편적인 해킹 툴과는 거리가 멀다. 이번에 배포되고 있는 멀웨어의 정체는 명확히 드러나지 않았다.

분석가들은 화이트셰도우 다운로더가 유료 서비스 형태로 사이버 공격자들 사이에서 판매되고 있는 것으로 보인다는 의견이다. 이번 공격에 연루된 공격자의 SQL 서버 역시 대여 서비스의 일종으로 보인다고 한다. 이 분석이 맞는다면, 이전 화이트셰도우 공격과 이번 공격의 연관성은 없을 가능성이 높다.

화이트셰도우가 자신의 기능을 수행하기 위해 사용하는 건 SQLOLEDB 커넥터라는 요소로, 이는 마이크로소프트 오피스 설치 시 디폴트로 포함되는 것이다. 화이트셰도우는 SQLOLEDB를 활용해 원격에 있는 마이크로소프트 SQL 서버에 접근하고, 요청을 실행하며, 그 결과를 파일(PKZIP)에 저장한다.

이런 방법으로 다운로드 하는 멀웨어는 다음과 같다고 알려져 있다.
1) 에이전트 테슬라(Agent Tesla)
2) 아조럴트(AZORult)
3) 크림슨
4) 나노코어(NanoCore)
5) 엔제이랫(njRat)
6) 오리온 로거(Orion Logger)
7) 렘코스(Remcos)
8) 폼북(Formbook)

SQL 요청을 통해 다음 단계의 페이로드를 다운로드 받는 건, 화이트셰도우만의 고유한 기능은 아니다. 그렇다고 자주 눈에 띄는 것도 아니다. “이전에도 한 번 나왔던 전략이긴 합니다. 그러나 흔히 발견되는 건 아닙니다. 꽤나 독특하다고 말할 수도 있습니다.” 프루프포인트의 설명이다.

이번 발견에서 가장 주목해야 할 건 “화이트셰도우가 유료 서비스의 형태로 여러 사이버 공격자들에게 퍼지고 있다는 것”이다. 정체를 알 수 없는 다양한 공격자들이 너도나도 이 서비스를 활용하게 된다면, 범죄 행위를 저지른 주체를 찾는 게 힘들어지고, 따라서 방어 전략을 세우기가 난감해지기 때문이다.

현재로서는 TCP 포트 1433을 통한 아웃바운드 트래픽과, 메일함으로 들어오는 수상한 이메일을 경계하는 수밖에 없다고 프루프포인트는 경고한다. “포트 1433을 통한 아웃바운드 트래픽은 차단하거나, 최소한 특정 상황에서만 사용되도록 제한해야 합니다. 현재 화이트셰도우가 동원된 캠페인의 규모는 작은 편에 속하지만, 점점 커질 가능성이 높습니다.”

3줄 요약

1. 화이트셰도우로 통칭되는 악성 매크로 기반 다운로더 발견됨.

2. SQL 쿼리를 이용해 추가 악성 코드를 다운로드 받는 기능 수행함.

3. 범죄자들 사이에서 유료로 대여되는 형태로 활용되는 중.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com), https://www.boannews.com/media/view.asp?idx=83390&page=1&kind=1]​