2020.04.06

지난 2년동안 수많은 MS-SQL 서버를 감염시킨 중국발 공격 "볼가"

Lucian Constantin | CSO
보안 연구진이 공개적으로 노출된 마이크로소프트 SQL 서버를 대상으로 한 무차별 대입 공격(brute-force attacks)의 증가세를 탐지한 시점은 지난해 12월이다. 그러나 조사 결과 공격 추세의 시작은 2018년 5월까지 거슬러 올라가며, 원격 액세스 트로이목마(Remote Access Trojans, RAT)와 크립토마이너(Cryptominers)를 통해 지금까지 매일 평균 약 2,000대의 데이터베이스 서버를 감염시킨 것으로 드러났다.
 
ⓒ Getty Images Bank

가디코어 랩스(Guardicore Labs)의 연구진은 계속되는 이 공격 캠페인에 볼가(Vollgar)라는 이름을 붙이고 공격의 시발점이 중국임을 확인했다. 스캔과 공격의 진원지는 중국 IP 주소이며(감염 및 하이재킹된 컴퓨터와 관련됐을 가능성이 높음), C&C 서버 역시 중국에 호스팅되고 웹 기반 관리 인터페이스 사용되는 언어도 중국어다.

의료, 항공, IT, 통신, 교육을 포함한 다양한 분야의 조직에 있는 MS SQL 서버가 감염됐으며 이 가운데 상당수는 중국, 인도, 미국, 한국, 터키에 위치해 있다.

이 연구진은 최근 발표한 보고서에서 “감염 기간을 보면, 감염된 컴퓨터의 과반수(60%)는 감염된 기간이 짧았다. 그러나 침해된 서버 중에서 거의 20%는 일주일 이상 감염된 상태를 유지했으며 2주 이상 지속된 사례도 있다. 이 공격이 흔적을 숨기고 안티바이러스, EDR 제품과 같은 방어 수단을 우회하는 데 뛰어나다는 의미다. 그게 아니라면 해당 서버에는 애초에 방어 수단이 없었을 가능이 매우 높다”라고 설명했다.

 
감염, 그리고 재감염

가디코어가 관찰한 바에 따르면, 볼가의 감염 속도는 하루 2,000~3,000대인데, 현재 인터넷에 연결된 MS-SQL 서버의 수가 약 50만 대로 다른 유형의 데이터베이스 서버에 비해 소수임을 감안하면 상당한 속도다.

더 놀라운 점은 10%에 이르는 재감염율이다. 관리자가 악성코드를 제거하려 시도했지만 일부 구성요소를 놓치거나, 처음 해킹의 원인이 된 취약한 자격 증명을 변경하지 못했음을 의미한다.

이 공격 캠페인에 의한 감염은 치밀하고 여러 요소로 구성된다. 또한 해당 공격자는 다른 경쟁 공격자에 속한 악성코드를 시스템에서 적극적으로 제거한다.

데이터베이스 서버 액세스 권한을 획득한 공격자는 구성을 변경해 MS-SQL을 통한 WMI 스크립팅과 명령어 실행을 활성화한다(관리자가 비활성화해둔 경우). 또한 cmd.exe, ftp.exe, 그리고 기타 중요한 바이너리를 실행 가능하도록 하고, 데이터베이스와 운영체제에 대한 백도어 관리 계정을 추가한다.

감염 과정에서 기존 악성코드가 시스템 재부팅 시에 자동으로 시작되거나 정상적인 실행 파일에 연결하기 위해 사용할 수 있는 여러 레지스트리 키가 삭제된다. 또한 배포된 페이로드(SQLAGENTIDC.exe 또는 SQLAGENTVDC.exe)는 실행 중인 프로세스에서 알려진 악성코드를 스캔해 제거하고, 이후 여러 원격 액세스 모듈과 XMRig 기반의 암호화 마이닝 프로그램을 다운로드한다.

원격 액세스 모듈은 22251, 9383, 3213 등이 포함된 다양한 포트로 C&C 도메인과 접촉한다. 연구진은 이 접촉이 악성코드의 인프라를 구성하는 서버 중 하나가 다운되는 경우에 대비한 예비 목적인 것으로 보고 있다.

연구진은 “공격자가 2개의 C&C 플랫폼을 사용하는 것으로 확인됐다. 이 2개의 플랫폼은 서로 다른 공급업체에서 개발했지만 플랫폼을 조작하는 공격자에게 제공하는 원격 제어 기능의 종류는 파일 다운로드, 새로운 윈도우 서비스 설치, 키로깅, 스크린 캡처, 대화형 셸 터미널 실행, 카메라 및 마이크 활성화, DDoS 공격 개시 등 비슷하다”라고 전했다.

크립토마이닝 구성요소는 서버의 CPU 리소스를 사용해 모네로(Monero)와 기타 VDS 또는 볼러(Vollar) 크립토코인을 채굴한다(그래서 이 공격의 이름도 볼가다). C&C 도메인도 무료 TLD 아래에서 이 코인의 이름을 사용한다.


볼가 공격 방어하기

관리자는 데이터베이스 서버(또는 모든 서버)가 인터넷에 직접 노출될 필요가 있는지 여부를 항상 확인해야 한다. 직접 노출을 피할 수 없다면 액세스 제어 목록과 쉽게 추측할 수 없는 강력한 액세스 자격 증명으로 보호해야 한다. 실패한 인증 시도에 대한 재시도 속도 제한을 적용하는 방법으로 무차별 대입 공격 보호 기능을 활성화하는 것이 좋다.

가디코어 랩스는 이 공격과 관련된 해킹을 나타내는 지표와 함께 시스템에서 볼가 감염 징후를 세밀하게 스캔하는 데 사용할 수 있는 파워셸 스크립트를 깃허브에 게시했다.

이 공격의 주된 목표는 기업 서버를 악용한 암호화폐 채굴로 보인다. 수익성이 좋아 지난 몇 년 사이 확산된 공격 방법이다. 그러나 공격자는 배포된 RAT 모듈을 통해 암호화폐 채굴 외에도 많은 행동을 할 수 있다.

이 연구진은 “이와 같은 데이터베이스 서버가 공격자들에게 매력적인 이유는 강력한 CPU 성능과 함께 풍부한 데이터가 저장되어 있다는 점”이라면서, “사용자 이름, 비밀번호, 신용카드 번호 등 단순한 무차별 대입 공격으로 획득할 수 있는 개인정보가 저장되어 있을 가능성이 높다”라고 말했다. editor@itworld.co.kr


2020.04.06

지난 2년동안 수많은 MS-SQL 서버를 감염시킨 중국발 공격 "볼가"

Lucian Constantin | CSO
보안 연구진이 공개적으로 노출된 마이크로소프트 SQL 서버를 대상으로 한 무차별 대입 공격(brute-force attacks)의 증가세를 탐지한 시점은 지난해 12월이다. 그러나 조사 결과 공격 추세의 시작은 2018년 5월까지 거슬러 올라가며, 원격 액세스 트로이목마(Remote Access Trojans, RAT)와 크립토마이너(Cryptominers)를 통해 지금까지 매일 평균 약 2,000대의 데이터베이스 서버를 감염시킨 것으로 드러났다.
 
ⓒ Getty Images Bank

가디코어 랩스(Guardicore Labs)의 연구진은 계속되는 이 공격 캠페인에 볼가(Vollgar)라는 이름을 붙이고 공격의 시발점이 중국임을 확인했다. 스캔과 공격의 진원지는 중국 IP 주소이며(감염 및 하이재킹된 컴퓨터와 관련됐을 가능성이 높음), C&C 서버 역시 중국에 호스팅되고 웹 기반 관리 인터페이스 사용되는 언어도 중국어다.

의료, 항공, IT, 통신, 교육을 포함한 다양한 분야의 조직에 있는 MS SQL 서버가 감염됐으며 이 가운데 상당수는 중국, 인도, 미국, 한국, 터키에 위치해 있다.

이 연구진은 최근 발표한 보고서에서 “감염 기간을 보면, 감염된 컴퓨터의 과반수(60%)는 감염된 기간이 짧았다. 그러나 침해된 서버 중에서 거의 20%는 일주일 이상 감염된 상태를 유지했으며 2주 이상 지속된 사례도 있다. 이 공격이 흔적을 숨기고 안티바이러스, EDR 제품과 같은 방어 수단을 우회하는 데 뛰어나다는 의미다. 그게 아니라면 해당 서버에는 애초에 방어 수단이 없었을 가능이 매우 높다”라고 설명했다.

 
감염, 그리고 재감염

가디코어가 관찰한 바에 따르면, 볼가의 감염 속도는 하루 2,000~3,000대인데, 현재 인터넷에 연결된 MS-SQL 서버의 수가 약 50만 대로 다른 유형의 데이터베이스 서버에 비해 소수임을 감안하면 상당한 속도다.

더 놀라운 점은 10%에 이르는 재감염율이다. 관리자가 악성코드를 제거하려 시도했지만 일부 구성요소를 놓치거나, 처음 해킹의 원인이 된 취약한 자격 증명을 변경하지 못했음을 의미한다.

이 공격 캠페인에 의한 감염은 치밀하고 여러 요소로 구성된다. 또한 해당 공격자는 다른 경쟁 공격자에 속한 악성코드를 시스템에서 적극적으로 제거한다.

데이터베이스 서버 액세스 권한을 획득한 공격자는 구성을 변경해 MS-SQL을 통한 WMI 스크립팅과 명령어 실행을 활성화한다(관리자가 비활성화해둔 경우). 또한 cmd.exe, ftp.exe, 그리고 기타 중요한 바이너리를 실행 가능하도록 하고, 데이터베이스와 운영체제에 대한 백도어 관리 계정을 추가한다.

감염 과정에서 기존 악성코드가 시스템 재부팅 시에 자동으로 시작되거나 정상적인 실행 파일에 연결하기 위해 사용할 수 있는 여러 레지스트리 키가 삭제된다. 또한 배포된 페이로드(SQLAGENTIDC.exe 또는 SQLAGENTVDC.exe)는 실행 중인 프로세스에서 알려진 악성코드를 스캔해 제거하고, 이후 여러 원격 액세스 모듈과 XMRig 기반의 암호화 마이닝 프로그램을 다운로드한다.

원격 액세스 모듈은 22251, 9383, 3213 등이 포함된 다양한 포트로 C&C 도메인과 접촉한다. 연구진은 이 접촉이 악성코드의 인프라를 구성하는 서버 중 하나가 다운되는 경우에 대비한 예비 목적인 것으로 보고 있다.

연구진은 “공격자가 2개의 C&C 플랫폼을 사용하는 것으로 확인됐다. 이 2개의 플랫폼은 서로 다른 공급업체에서 개발했지만 플랫폼을 조작하는 공격자에게 제공하는 원격 제어 기능의 종류는 파일 다운로드, 새로운 윈도우 서비스 설치, 키로깅, 스크린 캡처, 대화형 셸 터미널 실행, 카메라 및 마이크 활성화, DDoS 공격 개시 등 비슷하다”라고 전했다.

크립토마이닝 구성요소는 서버의 CPU 리소스를 사용해 모네로(Monero)와 기타 VDS 또는 볼러(Vollar) 크립토코인을 채굴한다(그래서 이 공격의 이름도 볼가다). C&C 도메인도 무료 TLD 아래에서 이 코인의 이름을 사용한다.


볼가 공격 방어하기

관리자는 데이터베이스 서버(또는 모든 서버)가 인터넷에 직접 노출될 필요가 있는지 여부를 항상 확인해야 한다. 직접 노출을 피할 수 없다면 액세스 제어 목록과 쉽게 추측할 수 없는 강력한 액세스 자격 증명으로 보호해야 한다. 실패한 인증 시도에 대한 재시도 속도 제한을 적용하는 방법으로 무차별 대입 공격 보호 기능을 활성화하는 것이 좋다.

가디코어 랩스는 이 공격과 관련된 해킹을 나타내는 지표와 함께 시스템에서 볼가 감염 징후를 세밀하게 스캔하는 데 사용할 수 있는 파워셸 스크립트를 깃허브에 게시했다.

이 공격의 주된 목표는 기업 서버를 악용한 암호화폐 채굴로 보인다. 수익성이 좋아 지난 몇 년 사이 확산된 공격 방법이다. 그러나 공격자는 배포된 RAT 모듈을 통해 암호화폐 채굴 외에도 많은 행동을 할 수 있다.

이 연구진은 “이와 같은 데이터베이스 서버가 공격자들에게 매력적인 이유는 강력한 CPU 성능과 함께 풍부한 데이터가 저장되어 있다는 점”이라면서, “사용자 이름, 비밀번호, 신용카드 번호 등 단순한 무차별 대입 공격으로 획득할 수 있는 개인정보가 저장되어 있을 가능성이 높다”라고 말했다. editor@itworld.co.kr


X