Home > Àüü±â»ç

Æ®¸®°í³ª ·£¼¶¿þ¾î, ºÎÀûÀýÇÏ°Ô °ü¸®µÇ´Â MS-SQL ¼­¹ö ÅëÇØ À¯Æ÷

ÀÔ·Â : 2023-04-12 10:21
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
À©µµ ¼­¹ö»Ó¸¸ ¾Æ´Ï¶ó µ¥½ºÅ©Åé ȯ°æ¿¡µµ ¼³Ä¡...Remcos RAT µî ¾Ç¼ºÄÚµå ŽÁö
CLR Shell ¾Ç¼ºÄÚµå ¼³Ä¡ ÀÌÈÄ Æ®¸®°í³ª ·£¼¶¿þ¾î ¼³Ä¡µÅ


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â MS-SQL ¼­¹ö¸¦ ´ë»óÀ¸·Î Æ®¸®°í³ª(Trigona) ·£¼¶¿þ¾î°¡ À¯Æ÷µÇ°í ÀÖ´Â °ÍÀÌ È®ÀεƴÙ. Æ®¸®°í³ª´Â Áö³­ÇØ 10¿ù¿¡ ÃÖÃÊ·Î È®ÀÎµÈ ·£¼¶¿þ¾î·Î, ÃÖ±Ù Unit 42¿¡¼­µµ CryLock ·£¼¶¿þ¾î¿ÍÀÇ À¯»ç¼ºÀ» ¹ÙÅÁÀ¸·Î º¸°í¼­¸¦ °ø°³Çϱ⵵ Çß´Ù.

¡ãMS-SQL ¼­¹ö °ø°Ý¿¡ »ç¿ëµÇ´Â ·£¼¶¿þ¾î À¯Çü Åë°è[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â MS-SQL ¼­¹ö´Â ÁÖ·Î ¿ÜºÎ¿¡ ³ëÃâµÅ ÀÖÀ¸¸é¼­ °èÁ¤Á¤º¸¸¦ ´Ü¼øÇÏ°Ô ¼³Á¤ÇØ ¹«Â÷º° ´ëÀÔ °ø°ÝÀ̳ª »çÀü °ø°Ý¿¡ Ãë¾àÇÑ ¼­¹ö¸¦ ¸»ÇÑ´Ù. ¸¸¾à °ø°ÝÀÚ°¡ ·Î±×Àο¡ ¼º°øÇÒ °æ¿ì ½Ã½ºÅÛ¿¡ ´ëÇÑ Á¦¾î´Â °ø°ÝÀÚ¿¡°Ô ³Ñ¾î°¡°Ô µÇ¸ç ¾Ç¼ºÄڵ带 ¼³Ä¡Çϰųª ¾ÇÀÇÀûÀÎ ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Ù.

Âü°í·Î MS-SQLÀº À©µµ ¼­¹ö¿¡¼­¸¸ ¼³Ä¡µÇ´Â °ÍÀÌ ¾Æ´Ï¸ç, µ¥½ºÅ©Åé ȯ°æ¿¡µµ ¼³Ä¡µÉ ¼ö ÀÖ´Ù. ¿¹¸¦ µé¾î ƯÁ¤ ERP ¹× ¾÷¹«¿ë ¼Ö·ç¼ÇÀ» ¼³Ä¡ÇÒ °æ¿ì ÇÔ²² ¼³Ä¡µÇ´Â °æ¿ìµµ Àֱ⠶§¹®¿¡ MS-SQL ¼­¹ö °ø°ÝÀº À©µµ ¼­¹ö¿Í ÇÔ²² À©µµ µ¥½ºÅ©Åé ȯ°æµµ ´ë»óÀÌ µÉ ¼ö Àִٴ Ư¡ÀÌ ÀÖ´Ù.

¾È·¦ ASEC ºÐ¼®ÆÀ¿¡¼­´Â ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â MS-SQL ¼­¹ö¸¦ ´ë»óÀ¸·Î ÇÏ´Â °ø°ÝÀ» ²ÙÁØÈ÷ ¸ð´ÏÅ͸µÇÏ°í ÀÖ´Ù°í ¹àÇû´Ù. °ø°Ý¿¡ »ç¿ëµÇ´Â ¾Ç¼ºÄÚµåµé·Î´Â Trojan, Backdoor, CoinMiner, Ransomware µî ¾Ç¼ºÄÚµå À¯Çü ´ëºÎºÐÀÌ »ç¿ëµÈ´Ù. ÀÌ Áß¿¡¼­ ·£¼¶¿þ¾î¸¦ ±âÁØÀ¸·Î ÇÑ´Ù¸é Mallox, GlobeImposter ·£¼¶¿þ¾î°¡ ´ëºÎºÐÀ» Â÷ÁöÇÏ°í ÀÖ´Ù.

ÇöÀç ºÐ¼® ´ë»ó ½Ã½ºÅÛÀº ¿ÜºÎ¿¡ ³ëÃâµÈ MS-SQL ¼­¹ö°¡ ¼³Ä¡µÈ ȯ°æÀÌ¸ç ºÎÀûÀýÇÑ °èÁ¤Á¤º¸¸¦ °®°í ÀÖ´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. ´Ù¾çÇÑ °ø°ÝÀÚµéÀº ÀÌ¹Ì °èÁ¤Á¤º¸¸¦ ȹµæÇßÀ¸¸ç, ÀÌ¿¡ µû¶ó Remcos RAT³ª ÄÚÀÎ ¸¶ÀÌ³Ê¿Í °°Àº ´Ù¾çÇÑ ¾Ç¼ºÄÚµåµéÀÇ Å½Áö ·Î±×°¡ È®ÀεȴÙ.

°ø°ÝÀÚ´Â Æ®¸®°í³ª ·£¼¶¿þ¾î¸¦ ¼³Ä¡Çϱâ ÀÌÀü¿¡ CLR Shell ¾Ç¼ºÄڵ带 ¸ÕÀú ¼³Ä¡ÇÏ´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. ´Ù¼öÀÇ ¾Ç¼ºÄÚµå ·Î±×µéÀÌ ÇÔ²² È®ÀεÇÁö¸¸, ·£¼¶¿þ¾î °ø°Ý ½ÃÁ¡°úÀÇ ½Ã°£Àû À¯»ç¼º°ú ÇÔ²² Æ®¸®°í³ª ·£¼¶¿þ¾î °ø°ÝÀÌ ÀÌ·ç¾îÁø ½Ã½ºÅÛµé ´ëºÎºÐ¿¡¼­ CLR Shell ¾Ç¼ºÄڵ尡 È®Àεǰí Àֱ⠶§¹®ÀÌ´Ù. ÀÌ¿Ü¿¡µµ ÇØ´ç CLR Shell ¾Ç¼ºÄÚµå´Â ±ÇÇÑ »ó½Â Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â ·çƾµµ È®ÀεǴµ¥, ÀÌ´Â ¼­ºñ½º·Î µ¿ÀÛÇÏ´Â Æ®¸®°í³ª ·£¼¶¿þ¾î°¡ ³ôÀº ±ÇÇÑÀÌ ÇÊ¿ä·Î Çϱ⠶§¹®À¸·Î º¸ÀδÙ.

MS-SQL ȯ°æ¿¡¼­´Â xp_cmdshell ¸í·É ¿Ü¿¡µµ OS ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Â ´Ù¾çÇÑ ±â¹ýµéÀÌ Á¸ÀçÇϴµ¥, ÀÌ Áß CLR È®Àå ÇÁ·Î½ÃÀú¸¦ ÀÌ¿ëÇÏ´Â ¹æ½ÄÀÌ ÀÖ´Ù. ÇØ´ç ±â´ÉÀº ¿ø·¡ SQL ¼­¹ö¿¡¼­ È®ÀåµÈ ±â´ÉÀ» Á¦°øÇϱâ À§ÇØ »ç¿ëµÈ´Ù. ÇÏÁö¸¸ °ø°ÝÀÚµéÀÌ À̸¦ ¾Ç¿ëÇØ ¾ÇÀÇÀûÀÎ ±â´ÉÀ» Æ÷ÇÔ½ÃÄÑ »ç¿ëÇÒ ¼ö ÀÖ´Ù. CLR ShellÀº CLR ¾î¼Àºí¸® ÇüÅÂÀÇ ¾Ç¼ºÄÚµå Áß À¥ ¼­¹öÀÇ À¥¼Ð(Web Shell)ó·³ °ø°ÝÀڷκÎÅÍ ¸í·ÉÀ» Àü´Þ¹Þ¾Æ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Â ±â´ÉÀ» Á¦°øÇÏ´Â ÇüÅ´Ù.

ÀÌ·¯ÇÑ CLR ShellÀ» »ç¿ëÇÏ´Â ¾Ç¼ºÄÚµå·Î´Â ¿¹¸¦ µé¾î LemonDuckÀÌ ÀÖ´Ù. LemonDuckÀº ³»ºÎ ³×Æ®¿öÅ© ÀüÆĸ¦ À§ÇØ MS-SQL ¼­¹öµµ ´ë»óÀ¸·Î ÇÏ¸ç ½ºÄ³´× ¹× »çÀü °ø°ÝÀ» ÅëÇØ sa °èÁ¤¿¡ ·Î±×ÀÎÇÑ ÈÄ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÑ´Ù. ¾Ç¼º ÇàÀ§´Â xp_cmdshell ¸í·ÉÀ» »ç¿ëÇϱ⵵ ÇÏÁö¸¸ Ãß°¡ ÆäÀÌ·Îµå ´Ù¿î·Îµå ÇàÀ§´Â CLR Shell, Áï ¡®evilclr.dll¡¯ÀÇ ExecCommand() ¸Þ¼Òµå°¡ »ç¿ëµÈ´Ù.

Æ®¸®°í³ª ·£¼¶¿þ¾î °ø°Ý ½ÃÁ¡¿¡ È®ÀεǴ CLR ShellÀº ¸í·É ½ÇÇà ·çƾÀº ¾øÁö¸¸ ±ÇÇÑ »ó½Â(MS16-032) Ãë¾àÁ¡°ú Á¤º¸ ¼öÁý, »ç¿ëÀÚ °èÁ¤ ¼³Á¤°ú °°Àº ±â´ÉµéÀ» Áö¿øÇÑ´Ù. °ø°ÝÀÚ´Â À̸¦ ÀÌ¿ëÇØ ³ôÀº ±ÇÇÑÀ» °¡Áø »óÅ·Π´Ù¾çÇÑ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù.

¡ã°ø°Ý¿¡ »ç¿ëµÈ CLR Shell ¾Ç¼ºÄÚµå[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


ÀÌ·¯ÇÑ °ø°Ý¿¡ »ç¿ëµÇ´Â ·çƾÀº °ø°³µÈ ÄÚµå¿Í °ÅÀÇ À¯»çÇϸç, »ó½ÂµÈ ±ÇÇÑÀ¸·Î ³»ºÎ¿¡ Æ÷ÇԵŠÀÖ´Â ¹ÙÀ̳ʸ®¸¦ ½ÇÇàÇÑ´Ù. CLR ShellÀ» ÅëÇØ »ý¼º ¹× ½ÇÇàµÇ´Â ¡®nt.exe¡¯´Â SQL °ü·Ã ¼­ºñ½ºÀÇ °èÁ¤À» LocalSystemÀ¸·Î º¯°æÇϱâ À§ÇØ ·¹Áö½ºÆ®¸®¸¦ ¼öÁ¤ÇÑ ÈÄ ÀçºÎÆýÃÅ°´Â ´Ü¼øÇÑ ±â´ÉÀÌ ÀÖ´Ù.

ÇöÀç ¡®NT Service\MSSQL$SQLEXPRESS¡¯ ±ÇÇÑÀ¸·Î ½ÇÇà ÁßÀÎ MS-SQL ÇÁ·Î¼¼½º sqlservr.exe´Â ·¹Áö½ºÆ®¸® ¼öÁ¤ ¹× ÀçºÎÆà ÀÌÈÄ¿¡´Â LocalSystem ±ÇÇÑÀ¸·Î ½ÇÇàµÈ´Ù. °ø°ÝÀÚ´Â ÀÌÈÄ »ó½ÂµÈ ±ÇÇÑÀ» °®´Â MS-SQL ÇÁ·Î¼¼½º¸¦ ÀÌ¿ëÇØ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù.

¡ã±âÁ¸ ·¹Áö½ºÆ®¸® °ª ¹× ÀçºÎÆà ÀÌÈÄ ÇÁ·Î¼¼½º ½ÇÇà °èÁ¤[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


°¨¿° ·Î±×¸¦ ºÐ¼®Çغ¸¸é CLR Shell ¾Ç¼ºÄڵ尡 ¼³Ä¡µÈ ÀÌÈÄ Æ®¸®°í³ª ·£¼¶¿þ¾î°¡ ¼³Ä¡µÈ´Ù. Æ®¸®°í³ª ·£¼¶¿þ¾î ¼³Ä¡ ·Î±×´Â svcservice.exe¶ó´Â À̸§ÀÇ ÆÄÀÏ¸í¿¡¼­ È®ÀÎÇÒ ¼ö ÀÖ´Ù. svcservice.exe´Â µå·ÎÆÛ ¾Ç¼ºÄÚµå·Î¼­ ¼­ºñ½º·Î µ¿ÀÛÇÏ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù. ¼­ºñ½º·Î ½ÇÇàµÉ °æ¿ì ½ÇÁ¦ Æ®¸®°í³ª ·£¼¶¿þ¾îÀÎ svchost.exe¸¦ µ¿ÀÏÇÑ °æ·Î¿¡ »ý¼ºÇÏ°í À̸¦ ½ÇÇà½ÃÄÑ ÁÖ´Â ±â´ÉÀ» ´ã´çÇÏ´Â Batch ÆÄÀÏÀÎ svchost.bat¸¦ »ý¼ºÇÏ°í ½ÇÇàÇÑ´Ù. svchost.batÀº ¸ÕÀú Æ®¸®°í³ª ¹ÙÀ̳ʸ®¸¦ Run Å°¿¡ µî·ÏÇØ ÀçºÎÆà ÀÌÈÄ¿¡µµ ½ÇÇàµÉ ¼ö ÀÖµµ·Ï Çϸç, ÀÌÈÄ º¼·ý ½¦µµ »èÁ¦ ¹× ½Ã½ºÅÛ º¹¿ø ±â´ÉÀ» ºñÈ°¼ºÈ­ÇØ ·£¼¶¿þ¾î °¨¿° ÀÌÈÄ º¹±¸¸¦ ºÒ°¡´ÉÇÏ°Ô ÇÑ´Ù.

±× ÀÌÈÄ svchost.exe, Áï Æ®¸®°í³ª ·£¼¶¿þ¾î¸¦ ½ÇÇà½ÃŲ ÈÄ µî·ÏÇß´ø ¼­ºñ½º svcservice¸¦ »èÁ¦ÇÑ´Ù. Æ®¸®°í³ª ½ÇÇà ½Ã¿¡´Â C:\ µå¶óÀ̺êºÎÅÍ Z:\ µå¶óÀ̺ê±îÁö °¢ µå¶óÀÌºê º°·Î °¢°¢ ÀÎÀÚ·Î Àü´ÞÇØ ½ÇÇà½ÃŲ´Ù.

¡ã¾ÏȣȭµÈ Æú´õ¿¡ »ý¼ºµÇ´Â ·£¼¶³ëÆ®[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¾È·¦ ASEC ºÐ¼®ÆÀÀº ¡°Æ®¸®°í³ª ·£¼¶¿þ¾î´Â µ¨ÆÄÀÌ·Î °³¹ßµÈ ·£¼¶¿þ¾î·Î¼­ ÆÄÀÏ ¾Ïȣȭ ½Ã È®ÀåÀÚ¸¦ ±¸ºÐÇÏÁö ¾Ê°í ¾ÏȣȭÇÏ¸ç ¾Ïȣȭ°¡ ¿Ï·áµÈ ÆÄÀÏÀº ¡®._locked¡¯ È®ÀåÀÚ°¡ µ¡ºÙ¿©Áø´Ù¡±¸ç ¡°°¢ Æú´õ¿¡´Â ¡®how_to_decrypt.hta¡¯¶ó´Â À̸§ÀÇ ·£¼¶³ëÆ®°¡ »ý¼ºµÈ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°°ø°ÝÀÚ´Â »ç¿ëÀÚ µ¥ÀÌÅÍ°¡ ¾ÈÀüÇÑ AES ¾Ë°í¸®ÁòÀ¸·Î ¾ÏȣȭµÆÀ¸¸ç º¹±¸Çϱâ À§Çؼ­´Â Tor ºê¶ó¿ìÀú¸¦ ¼³Ä¡ÇØ ÁöÁ¤ÇÑ ÁÖ¼Ò·Î ¿¬¶ôÇÒ °ÍÀ» ¿ä±¸ÇÑ´Ù¡±¸ç, ¡°±â¾÷µéÀº MS-SQL ¼­¹öÀÇ º¸¾È °ü¸®¿¡ ¸¸ÀüÀ» ±âÇØ¾ß ÇÑ´Ù¡±°í ´çºÎÇß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)