은밀한 마이크로소프트 SQL서버 백도어 악성코드, 실제 공격에서 발견 돼

Stealthy Microsoft SQL Server Backdoor Malware Spotted in the Wild

사이버 보안 연구원들이 마이크로소프트 SQL 서버용으로 특별히 설계 된 문서화 되지 않은 백도어를 발견했다고 밝혔습니다. 이를 통해 원격 공격자가 이미 해킹 된 시스템을 은밀히 제어할 수 있있는 것으로 알려졌습니다.

Skip-2.0으로 명명 된 이 백도어 악성코드는 메모리에서 실행 되며 원격 공격자들이 “매직 패스워드”를 사용해 MSSQL 버전 11, 12를 사용하는 서버의 모든 계정에 접근 할 수 있도록 해주는 악용 작업이 완료 된 후 사용 되는 툴입니다.

이 악성코드는 “매직 패스워드”가 사용 될 때 마다 해킹 된 기기의 로깅 기능, 이벤트 퍼블리싱, 감사 메커니즘을 비활성화하여 피해자의 MSSQL 서버에서 탐지 되지 않고 살아남았습니다.

공격자는 이러한 기능을 통해 데이터베이스에 저장 된 내용을 은밀히 복사, 수정, 삭제했습니다. 타깃 서버에 통합 된 어플리케이션에 따라 공격이 미치는 영향은 달라집니다.

“예를 들면, 이는 경제적 이득을 얻기 위해 게임 내 통화를 조작하는데 사용될 수 있습니다. Winnti의 해커들이 게임 내 통화 관련 데이터베이스를 조작한다는 사실은 이미 보고된 적 있습니다.”

중국 해커들, 마이크로소프트 SQL 서버 백도어 생성해

<이미지 출처 : https://thehackernews.com/2019/10/mssql-server-backdoor.html>

사이버 보안 회사인 ESET의 최근 리포트에 따르면, 연구원들은 Skip-2.0 백도어에 대한 범인으로 중국의 국가 지원을 받는 공격 그룹인 Winnti를 지목했습니다. 이 악성코드에서는 PortReuse 백도어와 ShadowPad 등 알려진 다른 Winnti 그룹의 툴들과 많은 유사성이 발견되었습니다.

이달 초 ESET이 처음으로 문서화 한 PortReuse 백도어는 TCP 포트에서 이미 리스닝 중인 실행 중인 프로세스에 자기 자신을 주입하는 윈도우용 수동 네트워크 임플란트입니다.

2017년 7월 소프트웨어 제조 업체인 NetSarang에 대한 공급망 공격에서 처음 발견 된 ShadowPad는 공격자들이 유연한 원격 제어 기능을 사용하기 위해 피해자의 네트워크에 배치하는 윈도우 백도어입니다.

다른 Winnti 그룹의 페이로드와 같이, Skip-2.0 또한 백도어를 설치하기 위해 암호화 된 VMProtected 런처, 커스텀 패커, 내부 로더 인젝터, 후킹 프레임워크를 사용합니다. 시스템 시작 서비스의 윈도우 프로세스에 존재하는 또한 DLL 하이재킹 취약점을 악용하여 타깃 시스템에서 지속성을 얻습니다.

Skip-2.0 악성코드는 악용 후 사용 되는 도구이기 때문에, 공격자는 먼저 타깃 MSSQL 서버를 해킹해야합니다.

“MSSQL Server 11, 12이 최신 버전은 아니지만 (2012년, 2014년 출시) Censys의 데이터에 따르면이 버전은 가장 흔히 사용 되는 버전입니다.”

출처 :

https://thehackernews.com/2019/10/mssql-server-backdoor.html