• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

MSSQL 데이터베이스, 무작위 대입 공격에 이은 랜섬웨어 때문에 몸살 2023.09.04

실력이 뛰어난 것으로 보이는 공격 단체 하나가 디비재머라는 캠페인을 실시하면서 MSSQL 생태계를 위협하고 있다. 공격자들은 취약한 DB를 뚫고 여러 가지 도구를 활용하여 자기들이 필요한 모든 것들을 실시한다.

[보안뉴스 문정후 기자] 노출된 마이크로소프트 SQL 서버(MSSQL) 데이터베이스들을 침해하는 사이버 공격 캠페인이 발견됐다. 공격자들은 무작위 대입이라는 전략을 통해 이런 데이터베이스들 안으로 침투한 뒤 랜섬웨어나 코발트스트라이크(Cobalt Strike) 페이로드를 심고 있는 것으로 나타났다.

[이미지 = gettyimagesbank]


보안 업체 세큐로닉스(Securonix)가 조사한 바에 의하면 이번 캠페인은 일반적으로 다음과 같은 순서로 일어난다고 한다.
1) 노출된 MSSQL 데이터베이스를 찾아 무작위 대입 공격을 실시
2) 최초 침투 성공 이후 MSSQL을 거점으로 활용해 여러 곳에 침투 시도
3) 침투한 곳에 여러 가지 페이로드를 심어 다양한 공격 실시

여러 가지 페이로드라고 했는데, 크게 다음 두 가지로 분류된다.
1) 원격 접근 도구(RAT) 여러 종
2) 랜섬웨어 : 미믹(Mimic) 랜섬웨어의 최신 변종인 프리월드(FreeWorld)
프리월드 랜섬웨어의 경우 바이너리 파일 이름도 프리월드이고, 협박 편지 텍스트 파일도 FreeWorld-Contact.txt이며, 암호화 된 파일의 확장자도 .FreeWorldEncryption이다.

공격자들은 원격 SMB 셰어를 만들어 자신들의 공격 도구가 저장되어 있는 디렉토리를 마운팅시키기도 했다. 공격 도구는 여러 가지가 있는데, 코발트스트라이크의 C&C 에이전트인 srv.exe, 애니데스크(AnyDesk), 네트워크 포트 스캐너, 미미캐츠(Mimikatz) 등이다. 이런 도구들로 크리덴셜을 덤핑하거나, 피해자 네트워크에서 횡적으로 움직이기도 하며, 환경 설정을 변경하고 레지스트리를 조작하는 등의 악성 행위를 실시할 수 있다.

세큐로닉스는 이 캠페인에 디비재머(DB#JAMMER)라는 이름을 붙였다. “배후에 있는 공격자들은 꽤나 높은 실력을 가지고 있는 것으로 분석됩니다. RAT, 익스플로잇, 크리덴셜 탈취 멀웨어, 랜섬웨어 등 많은 공격 도구들을 능숙하게 다룰 줄 알고, 자신들의 필요에 따라 공격 인프라와 페이로드도 다양하게 이용합니다. 게다가 공격 속도가 무척 빠릅니다.”

세큐로닉스의 부회장 올레그 콜레스니코프(Oleg Kolesnikov)는 “이렇게 다재다능하며 속도까지 갖춘 공격 단체는 쉽게 찾기 어렵다”고 말한다. “괜히 다크웹의 사이버 공격 조직들이 분업화가 되는 게 아닙니다. 각자의 전문 영역 한두 가지를 잘 하는 것도 힘들기 때문이죠. 하지만 이번 캠페인을 진행하는 단체는 다채로운 공격을 실시할 수 있습니다.”

현재도 이 캠페인은 진행 중에 있다. 하지만 ‘표적형 공격’에 가깝기 때문에 피해자가 대규모로 쌓이지는 않는다고 한다. “디비재머가 야기하는 리스크의 수준은 중상 정도라고 평가합니다. 표적 공격임에도 이렇게 높게 잡는 건 이들의 주요한 침투 통로가 MSSQL이기 때문입니다. 대단히 널리 사용되는 유형의 DB라고 할 수 있습니다. 게다가 MSSQL 외에도 이들의 침투 수단이 있는 것으로 조사되고 있습니다.”

MSSQL 보호하기
콜레니코프는 “인터넷에 MSSQL이 어느 정도 노출되어 있는지 확인하고 정말 필요한 것만 남겨두는 것이 중요하다”고 강조한다. “또한 MSSQL 계정들이 강력한 크리덴셜로 보호되어 있도록 해야 합니다. 그래야 이번 캠페인과 같이 무작위 대입 전술을 내세우는 공격을 막을 수 있습니다.”

그 외에도 보안 팀들이 할 수 있는 조치들에 대하여 콜레니코프는 다음과 같은 것들을 꼽고 있다.
1) 공격자들의 공격 전략과 전술을 이해한다
2) 악성 행위자들이 어떤 행위를 주로 실시하는지 파악한다
3) xp_cmdshell과 같은 유틸리티의 활용을 제한한다
4) 멀웨어가 주로 저장되는 디렉토리들을 모니터링한다(예 : C:\Windows\Temp)
5) 추가 프로세스 로깅을 구축한다(예 : Sysmon)

보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 지난 7월 발표한 보고서에 의하면 취약한 SQL 서버들을 표적으로 삼는 악성 행위는 2022년에 비해 올해 174% 늘어났다고 한다.

글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>