[ 뉴스스터디 ] MS-SQL 서버에 무차별 대입하여 악성코드 설치하는 프록시재킹 공격 발견
원문 기사 링크 : https://www.boannews.com/media/view.asp?idx=121150&page=1&kind=1
내용 요약
최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 하는 프록시재킹(Proxyjacking) 공격 사례가 발생한 것이 확인되었다.
MS-SQL 서버들은 외부에 공개되어 있으면서 단순한 형태의 암호를 사용하고 있는 Microsoft Windows 시스템을 대상으로 하는 대표적인 공격 벡터 중 하나로, 공격자들은 약한 보안을 가진 서버를 찾아 무차별 대입 공격이나 사전 공격을 통해 로그인하고 악성코드를 설치한다.
이번 공격은 프록시재킹과 크립토재킹을 결합한 것으로, 다양한 기업의 프록시웨어를 악용하며 악성코드를 .NET Native AOT 컴파일 방식으로 제작한 것이 특징이다.
프록시재킹은 사용자 동의 없이 프록시웨어를 설치하고 그 인터넷 대역폭 일부를 외부에 공유하여 수익을 얻는 공격이며, 크립토재킹과 유사하나 프록시웨어 대신 코인 마이너를 설치하여 암호화폐를 채굴한다는 차이점이 있다.
과거에는 정상 파일로 위장한 악성코드를 통해 프록시재킹 공격이 이뤄진 바 있으며, 리눅스 시스템을 대상으로 한 공격 사례도 알려졌다.
공격에 사용된 프록시웨어에는 Traffmonetizer, IPRoyal Pawns, Proxyrack, PacketStream 등이 포함되며, 이들은 시스템 리소스를 이용해 수익을 창출한다.
안랩 ASEC 분석팀 관계자에 따르면, "MS-SQL 서버 관리자들은 보안을 강화하고 계정 비밀번호를 강력하게 유지하며 주기적으로 변경해야 하며, 최신 버전의 백신과 방화벽을 사용해 공격을 예방해야 한다"고 조언했다.
공격 원리
공격자는 부적절하게 관리되고 있는 MS-SQL 서버를 공격하여 Peer2Profit 업체의 프록시웨어를 'sdk.mdf'라는 이름으로 설치한다.
('sdk.mdf'는 프록시웨어에서 제공하는 파일이기 때문에 이를 악용하는 CLR Assembly를 사용하여 대역폭을 탈취했고, p2p_start() 호출 시 수익을 가져갈 이메일 주소를 인자로 전달해야 하기 때문에 악성코드에서 공격자의 이메일 주소를 확인할 수 있다.)
로더 형태의 CLR 어셈블리는 내부 리소스 'gmp'에 저장된 XMRig를 메모리 상에서 로드하는 역할을 담당한다.
(gmp : 커스터마이징된 XMRig로서 초기 루틴에서 마이닝 풀 주소 등 마이닝에 필요한 정보를 설정함)
최근 이 공격자는 'sdk.mdf' 대신 'winupdate0.mdf'라는 이름의 악성코드를 생성하고 있다고 한다.
('SqlserverCLRV2.NativeLib.dll'이라는 이름의 악성코드는 러브마이너 CLR 어셈블리의 파일명과 유사하며 Export 함수 중 'GmpStart'라는 문자열이 사용됐다는 점에서 같은 공격자가 제작한 것으로 추정한다)
'winupdate0.mdf'는 드로퍼 악성코드로서, 닷넷 네이티브 AOT 컴파일 방식으로 제작된 것이 특징이다.
악성코드 제작자의 입장에서는 이를 통해 성능상의 이점을 얻을 수 있고, 악성코드를 분석하는 관점에서는 일반적인 닷넷 실행 파일들과 컴파일 방식이 달라 분석하는데 많은 수고를 들여야 한다.
GmpStart() 함수는 실질적인 드로퍼 기능을 담당하며, 런처 악성코드인 'warpstart.dll'과 프록시웨어 도구들인 Traffmonetizer, IPRoyal, Proxyrack, PacketStream을 설치한다.
GmpStart()함수는 단순한 형태로서 각각의 함수들에서 차례대로 설치를 담당한다.
(이때 파일들은 모두 %APPDATA% 경로에 설치된다)
드로퍼는 설치한 프록시웨어들을 직접 실행하는 대신, 'warpstrat.dll'을 이용하여 간접적으로 실행한다.
해당 파일은 확장자명과 달리 exe 실행파일이며, 인자로 전달받은 명령을 실행시켜주는 단순한 형태의 닷넷 런처 도구이다.
설치되는 프록시웨어들 중 Traffmonetizer의 경우, 특정 경로에 'settings.json'파일을 생성하는데 해당 파일에는 공격자의 토큰 정보가 저장되어 있다.
이후 바이너리에 포함되어있는 's.zip' 파일을 생성하고 특정 경로에 압축을 해제한다.
(해당 압축파일에는 Traffmonetizer프로그램들이 존재하며, wrapstrat을 이용하여 이를 실행시킨다.)
IPRoyal Pawns의 경우 실행 시 계정 정보가 필요한데, 이에 따라 설치 과정에서 공격자의 이메일 주소와 비밀번호를 확인할 수 있었다.
Proxyrack은 'device_id'로서 랜덤한 문자열을 생성하여 이를 인자로 프록시웨어를 실행한 후 홈페이지에서 자신의 계정에 해당 'device_id'를 등록하는 방식으로 수익을 얻을 수 있다.
요약
1. MS-SQL 서버 공격하여 winupdate0.mdf 설치함(드로퍼 악성코드라 여러 악성코드를 심음)
2. 심어진 악성코드들 중 SqlserverCLRV2.NativeLib.dll 파일의 export 함수 중 GmpStart()가 런처 악성코드인 'warpstart.dll'과 프록시웨어 도구들인 Traffmonetizer, IPRoyal, Proxyrack, PacketStream을 설치함.
3. warpstrat.dll을 이용해서 설치한 프록시웨어 도구들을 실행함.
(근데 이 파일은 확장자명과 달리 exe 실행파일임)
결과 ; 피해자의 대역폭을 탈취하여 금전적인 이득을 취함
용어 정리
프록시재킹(Piroxyjacking)
사용자의 동의 없이 프록시웨어를 설치하여 감염된 시스템의 인터넷 대역폭을 외부와 공유하는 공격 방법.
공격자는 이를 통해 대역폭을 탈취하고 수익을 얻는다.
참고: https://www.akamai.com/ko/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle
크립토재킹(Cryptojacking)
암호화폐를 뜻하는 크립토커런시(cryptocurrency)와 납치를 뜻하는 하이재킹(hijacking)의 합성어로,
사용자의 컴퓨터를 암호화폐 채굴에 이용하는 사이버 범죄이다.
주로 웹사이트를 공격하여 암호화폐 채굴을 위한 악성코드를 심어놓고,
접속한 사람들이 암호화폐를 채굴하도록 만든 후 채굴한 암호화폐를 자신의 지갑으로 전송하는 방식을 사용한다.
출처 : 해시넷(http://wiki.hash.kr/index.php/%ED%81%AC%EB%A6%BD%ED%86%A0%EC%9E%AC%ED%82%B9)
러브마이너(LoveMiner)
exe 실행 파일이나 CLR 어셈블리 형태의 다운로더 악성코드를 거쳐 취약한 MS-SQL 서버에 설치되어 프록시재킹 및 크립토재킹 공격을 실행하는 악성코드이다.
출처 : Ahnlab(https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=32567)
프록시웨어(Proxyware)
설치된 시스템에서 현재 사용 가능한 인터넷 대역폭의 일부를 외부에 공유하는 프로그램을 말한다.
프록시웨어를 설치한 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다.
출처 : Ahnlab(https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=33479)
.NET Native AOT(ahead-of-time) 컴파일 방식
.NET 코드를 런타임이 아닌 미리 컴파일하여 네이티브 코드로 변환하는 방식으로,
파일 크기 감소, 실행 시간을 단축시키는 등 성능을 향상시킨다.
출처 : Microsoft learn(https://learn.microsoft.com/en-us/dotnet/core/deploying/native-aot/?tabs=net7%2Cwindows)
코인 마이너
사용자의 인지 없이 설치되어 시스템의 자원을 이용해 가상화폐를 채굴하는 악성코드.
감염된 시스템의 성능 저하를 유발한다.
출처 : 보안뉴스(https://m.boannews.com/html/detail.html?idx=113558)
드로퍼 악성코드
동시에 수많은 악성코드에 감염되는 악성코드 폭탄을 말한다.
주로 검색엔진에서 상위에 노출되는 악성 사이트로부터 유포되며 Download 버튼 등을 클릭 시 악성코드 유포 페이지로 이동한다.
암호 암축된 파일을 다운로드 하여 감염된다는 특징이 있다.
(주 감염 경로는 유료 프로그램 크랙 버전 공유 사이트를 통해 감염)
출처 : Ahnlab(https://asec.ahnlab.com/ko/41490/)