상세 컨텐츠

본문 제목

해커들, 마이크로소프트 SQL 서버 수천 대에 비밀 백도어 설치해

국내외 보안동향

by 알약(Alyac) 2020. 4. 2. 16:24

본문

WARNING: Hackers Install Secret Backdoor on Thousands of Microsoft SQL Servers


사이버 보안 연구원들이 2018년 5월부터 지속된 악성 캠페인을 발견했습니다. MS-SQL 서버를 운영하는 윈도우 기기를 노리며 백도어와 다기능 원격 접속 툴(RAT), 크립토마이너 등 기타 악성코드를 배포합니다.


Guardicore Labs의 연구원에 따르면, Vollar + vurgar의 합성어인 “Vollgar”라 명명된 이 악성코드는 인터넷에 노출된 취약한 크리덴셜을 사용하는 마이크로소프트 SQL 서버에 브루트포싱 공격을 실행합니다.


연구원들은 공격자가 지난 몇 주 동안 매일 2,000~3,000대의 데이터베이스 서버를 성공적으로 감염시켰으며 중국, 인도, 미국, 한국, 터키에 위치한 의료, 항공, IT 및 통신, 고등 교육 분야에서 주로 피해자가 발생했습니다.



<이미지 출처: https://www.guardicore.com/2020/03/the-vollgar-campaign-ms-sql-servers-under-attack/>



연구원들은 시스템 관리자가 자신의 윈도우 MS-SQL 서버가 이 공격을 받았는지 여부를 확인할 수 있는 스크립트를 발표했습니다.



Vollgar 공격 체인: MS-SQL에서 시스템 악성코드로


Vollgar 공격은 MS-SQL 서버에 대한 브루트포스 로그인 공격 시도로 시작됩니다. 성공할 경우 침입자는 악성 MS-SQL 명령어를 실행하고 악성 바이너리를 다운로드 하기 위해 여러 구성을 변경할 수 있습니다.


“또한 공격자는 특정 COM 클래스가(WbemScripting.SWbemLocator, Microsoft.Jet.OLEDB.4.0, Windows Script Host Object Model (wshom)) 사용 가능한 상태인지 확인합니다. 이 클래스는 MS-SQL을 통한 WMI 스크립팅 및 명령 실행을 지원하며, 이는 추후 초기 악성코드 바이너리를 다운로드 하는데 사용됩니다.”



<이미지 출처: https://www.guardicore.com/2020/03/the-vollgar-campaign-ms-sql-servers-under-attack/>



Vollgar 운영자는 cmd.exe와 ftp.exe 실행파일에 실행 권한이 있는지 확인하는 것 이외에도 상승된 권한으로 MS-SQL 데이터베이스와 OS에 연결할 수 있는 새로운 백도어 사용자를 생성합니다.


초기 설정이 완료되면, 다운로더 스크립트(VB 스크립트 2개, FTP 스크립트 1개)를 생성합니다. 이는 실패를 방지하기 위해 로컬 파일 시스템 내 각각 다른 타깃 위치에서 두어 번 실행됩니다.


이름이 SQLAGENTIDC.exe 또는 SQLAGENTVDC.exe인 초기 페이로드는 먼저 가능한 많은 시스템 리소스를 확보하고, 다른 공격자의 활동을 종료시키고 제거하기 위해 수 많은 프로세스를 종료하기 시작합니다.


이는 또 다른 RAT과 모네로 및 VDS(Vollar) 알트코인을 채굴하는 XMRig 기반 크립토마이너를 드롭하는 드롭퍼의 역할 또한 담당합니다.



해킹된 시스템에 호스팅되는 공격 인프라


Guardicore는 공격자가 중국에 위치한 주요 C&C 서버를 포함한 전체 인프라를 해킹된 기기에서 운영하고 있다고 밝혔습니다. 아이러니하게도, 해당 기기들은 다른 공격 그룹에 이미 해킹된 상태인 것으로 밝혀졌습니다.


“C&C 서버에서 IP 범위를 스캔하고, 타깃 데이터베이스를 브루트포싱하고 원격으로 명령을 실행하는 MS-SQL 공격 툴이 발견되었습니다.”


“추가로 GUI가 중국어로 설정된 CNC 프로그램 2개, 파일의 해시값 수정을 위한 툴, 포터블 HTTP 파일 서버(HFS), Serv-U FTP 서버 및 RDP를 통해 피해자 기기에 연결하는데 사용된 실행파일 mstsc.exe의(Microsoft Terminal Services Client) 복사본을 발견했습니다.”



<이미지 출처: https://www.guardicore.com/2020/03/the-vollgar-campaign-ms-sql-servers-under-attack/>


감염된 윈도우 클라이언트가 C2 서버에 핑을 보내면, C2 서버는 공개 IP, 위치, OS 버전, 컴퓨터 이름, CPU 모델 등 기기에 대한 다양한 정보를 받습니다.


Guardicore는 중국에 위치한 서버에 설치된 이 C2 프로그램 2개가 다른 공급 업체 2곳에서 개발되었다고 밝히며 파일 다운로딩, 새로운 윈도우 서비스 설치, 키로깅, 스크린 캡쳐, 카메라 및 마이크 활성화, DDoS 공격 실행 등 여러 원격 제어 기능에 유사점이 있었다고 밝혔습니다.



브루트포스 공격 예방 위해 강력한 패스워드 사용 필요해


MS-SQL 데이터베이스 서비스를 사용하는 시스템은 약 50만대 존재합니다. 이 캠페인은 공격자가 민감 정보를 얻기 위해 보안이 취약한 데이터베이스 서버를 쫓는다는 또 다른 증거가 될 수 있습니다. 인터넷에 노출된 MS-SQL 서버는 강력한 크리덴셜로 보호해야 합니다.


“데이터베이스 서버는 CPU 성능 뿐만 아니라 엄청난 데이터를 포함하고 있어 공격자에게 좋은 먹잇감이 될 수 있습니다.”


“이러한 장비는 계정명, 패스워드, 신용카드 번호 등 귀중한 개인 정보를 포함할 가능성이 있으며 공격자는 단순한 브루트포싱 공격을 통해 이를 손에 넣을 수 있게 됩니다.”





출처 :


관련글 더보기

댓글 영역