Home > Àüü±â»ç

BAT ÆÄÀÏ È®ÀåÀÚ ´Ü ¡®¸á·Ï½º¡¯ ·£¼¶¿þ¾î, MS-SQL ¼­¹ö °ø°Ý Áß

ÀÔ·Â : 2023-06-20 10:43
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
Remcos RAT¿Í Mallox µî ÇöÀç±îÁö 2°³ È®ÀåÀÚ À¯Æ÷ ÆÄÀÏ È®ÀÎ
ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â MS-SQL DB ¼­¹ö ´ë»ó ¾Ç¼ºÄÚµå, ºñ ½ÇÇà ÆÄÀÏ ¹ß°ß Áõ°¡


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â MS-SQL ¼­¹ö¸¦ ´ë»óÀ¸·Î BAT ÆÄÀÏ È®ÀåÀÚÀÇ ¸á·Ï½º(Mallox) ·£¼¶¿þ¾î°¡ À¯Æ÷µÇ°í ÀÖ´Â °ÍÀ¸·Î µå·¯³µ´Ù. MS-SQL ¼­¹ö¸¦ ´ë»óÀ¸·Î À¯Æ÷µÇ´Â ÆÄÀÏ ÇüÅ°¡ .exe ÆÄÀÏ È®ÀåÀÚ¿Í ´õºÒ¾î ÆÄÀϸ®½º(Fileless) ÇüÅÂÀÎ BAT ÆÄÀÏ È®ÀåÀÚµµ »ç¿ëµÇ°í ÀÖ´Â °ÍÀÌ´Ù. ÇöÀç±îÁö È®ÀÎµÈ BAT ÆÄÀÏ È®ÀåÀÚ À¯Æ÷ ÆÄÀÏÀº ·½ÄÚ½º·§(Remcos RAT)°ú ¸á·Ï½º(Mallox) ·£¼¶¿þ¾î°¡ ÀÖ´Ù.

¡ãkillerrr.bat ÆÄÀÏ »ý¼º ¹× ½ÇÇàÇÏ´Â ÇàÀ§[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¾È·¦ ASEC ºÐ¼®ÆÀÀº ÃÖ±Ù MS-SQL ¼­¹ö¸¦ °ø°Ý ÁßÀÎ BAT ÆÄÀÏ È®ÀåÀÚÀÇ ¸á·Ï½º ·£¼¶¿þ¾î¸¦ ¹ß°ßÇß´Ù. BAT ÆÄÀÏ È®ÀåÀÚ À¯Æ÷´Â ÆÄ¿ö½©(powershell)°ú sqlps¸¦ »ç¿ëÇÑ »ç·Ê µî µÎ °¡Áö ¸ðµÎ Á¸ÀçÇÑ´Ù. ¾È·¦ÀÇ AhnLab Smart Defense(ASD) ·Î±×¸¦ ÅëÇØ Å½ÁöÇÑ °á°ú, ´Ù¿î·Îµå ÁÖ¼Ò°¡ Tst.bat·Î È®ÀεȴÙ.

ÆÄ¿ö½© ¸í·É¾î·Î ´Ù¿î·ÎµåµÈ BAT ÆÄÀÏÀº CMD·Î ½ÇÇàµÈ´Ù. BAT ÆÄÀϸí°ú µ¿ÀÏÇÑ ½ÇÇà ÆÄÀÏÀ» °°Àº °æ·Î¿¡ »ý¼ºÇÑ´Ù. bat.exe ÆÄÀϸíÀÇ »ý¼ºµÈ ½ÇÇà ÆÄÀÏÀº ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ Á¤»ó ÆÄÀÏÀÎ ÆÄ¿ö½©ÀÌ´Ù.

¸á·Ï½º ·£¼¶¿þ¾î´Â ÇØ´ç ·£¼¶¿þ¾îÀÇ º»Ã¼ÀÎ µ¥ÀÌÅ͸¦ À©µµ Á¤»ó ÇÁ·Î¼¼½ºÀÎ MSbuild.exe¿¡ ÀÎÁ§¼Ç ±â¹ý Áß ÇϳªÀÎ Process HollowingÀ» ¼öÇàÇÑ´Ù. ¶ÇÇÑ, µ¿ÀÏ °æ·Î¿¡ killerr.bat ÆÄÀÏÀ» »ý¼ºÇÏ°í ½ÇÇàÇÑ´Ù. killerr.bat ÆÄÀÏÀÇ ½ÇÇà ÁõÀûÀ» º¸¸é, ÆÄÀÏ À̸§¿¡¼­ À¯ÃßÇÒ ¼ö ÀÖµí ´Ù¼öÀÇ ÇÁ·Î¼¼½º¸¦ Á¾·á½ÃÅ°°í ´Ù¼öÀÇ ¼­ºñ½º¸¦ Á¾·á ¹× »èÁ¦ÇÑ´Ù.

¾Ç¼ºÄÚµå °¨¿° ´ë»ó ÇÁ·Î¼¼½ºÀÇ À̹ÌÁö¸¦ ¾ð¸ÅÇÎÇÏ°í ÀÚ½ÅÀÇ À̹ÌÁö¸¦ ¸ÅÇÎÇÏ´Â ÀÎÁ§¼Ç ±â¹ýÀÎ ÇÁ·Î¼¼½º ÇϿ︵(Process Hollowing) ±â¹ýÀÌ ÀÖ´Ù. ÀÌ ±â¹ýÀ» Àû¿ëÇØ ½ÇÇàµÈ MSBuild.exeÀÇ ·£¼¶¿þ¾î ÇàÀ§¸¦ EDR¿¡¼­ ŽÁöÇÑ È­¸éÀ» º¸¸é, µðÄÚÀÌ ÆÄÀÏÀÌ ¾ÏȣȭµÈ ³»¿ëÀ» È®ÀÎÇÒ ¼ö ÀÖÀ¸¸ç, º¼·ý ¼¨µµ º¹»çº»À» »èÁ¦ÇÏ´Â ¸í·ÉÀ» ¼öÇàÇÑ À̷µµ ³²¾Æ ÀÖ´Ù. ¾ÏȣȭµÈ ¹®¼­ÆÄÀÏ¿¡ ´ëÇÑ ³»¿ëµµ ¸ðµÎ ±â·ÏµÈ´Ù. ¶ÇÇÑ, À©µµ ±â´ÉÀ» ÀÌ¿ëÇØ º¹±¸ÇÏ´Â °ÍÀ» Â÷´ÜÇϱâ À§ÇØ ¼öÇàÇÏ´Â ¸í·É¾î·Î ¸ðµÎ ±â·ÏµÅ ÀÖ´Â °Íµµ È®ÀÎÀÌ °¡´ÉÇÏ´Ù.

¡ãÀÎÁ§¼ÇµÈ MSBuild.exeÀÇ ·£¼¶¿þ¾î ÇàÀ§[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


ÃÖ±Ù ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â MS-SQL µ¥ÀÌÅͺ£À̽º ¼­¹ö¸¦ ´ë»óÀ¸·Î ¼³Ä¡µÇ´Â ¾Ç¼ºÄÚµå´Â ½ÇÇàÆÄÀϵµ ÀÖÁö¸¸, ÆÄÀϸ®½º(Fileless) ¹æ½ÄÀÎ ºñ ½ÇÇà ÆÄÀÏ(NON-PE)µµ ¹ß°ßµÇ°í ÀÖ´Ù. MS-SQL µ¥ÀÌÅͺ£À̽º ¼­¹ö¸¦ ´ë»óÀ¸·Î ÇÏ´Â °ø°Ý¿¡´Â ºÎÀûÀýÇÏ°Ô °èÁ¤Á¤º¸¸¦ °ü¸®ÇÏ°í ÀÖ´Â ½Ã½ºÅ۵鿡 ´ëÇÑ ¹«Â÷º° ´ëÀÔ °ø°Ý(Brute Forcing)°ú »çÀü °ø°Ý(Dictionary Attack)ÀÌ ´ëÇ¥ÀûÀÌ´Ù. °ø°Ý ´ë»óÀÌ µÇ´Â MS-SQL ¼­¹öÀÇ °æ¿ì µ¥ÀÌÅͺ£À̽º ¼­¹ö·Î¼­ Á÷Á¢ ±¸ÃàÇÑ ÇüÅ ¿Ü¿¡µµ ERP ¹× ¾÷¹«¿ë ¼Ö·ç¼Ç ¼³Ä¡ °úÁ¤¿¡¼­ ÇÔ²² ¼³Ä¡µÇ´Â °æ¿ìµµ ´Ù¼ö Á¸ÀçÇÑ´Ù.

¾È·¦ ASEC ºÐ¼®ÆÀÀº ¡°°ü¸®ÀÚµéÀº °èÁ¤ÀÇ ºñ¹Ð¹øÈ£¸¦ ÃßÃøÇϱ⠾î·Á¿î ÇüÅ·Π»ç¿ëÇÏ°í ÁÖ±âÀûÀ¸·Î º¯°æÇØ ¹«Â÷º° ´ëÀÔ °ø°Ý°ú »çÀü °ø°ÝÀ¸·ÎºÎÅÍ µ¥ÀÌÅͺ£À̽º ¼­¹ö¸¦ º¸È£ÇØ¾ß Çϸç, ÃֽŠ¹öÀüÀ¸·Î ÆÐÄ¡ÇØ Ãë¾àÁ¡ °ø°ÝÀ» ¹æÁöÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°¿ÜºÎ¿¡ ¿ÀǵŠÁ¢±Ù °¡´ÉÇÑ µ¥ÀÌÅͺ£À̽º ¼­¹ö¿¡ ´ëÇØ ¹æÈ­º®°ú °°Àº º¸¾È Á¦Ç°À» ÀÌ¿ëÇØ °ø°ÝÀڷκÎÅÍÀÇ Á¢±ÙÀ» ÅëÁ¦ÇØ¾ß ÇÑ´Ù¡±°í ´çºÎÇß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)