보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

MS-SQL 서버 취약점 뚫는 글로브임포스터 랜섬웨어 주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2022-10-05

최근 안랩 ASEC 분석팀이 내부 모니터링을 통해 취약한 MS-SQL 서버를 표적으로 삼은 글로브임포스터(GlobeImposter) 랜섬웨어가 유포되고 있는 것을 확인했다글로브임포스터는 안랩 TIP 서비스의 ‘2022 1, 2분기 MS-SQL 대상 악성코드 통계 보고서에서도 언급된 바 있다올해 2분기에는 MS-SQL를 겨냥한 전체 랜섬웨어의 52.6%에 달했다조만간 공개될 3분기 통계에서도 큰 비중을 차지할 것으로 예상된다.

 


 

글로브임포스터는 암호화된 내부 데이터를 [그림 1]의 로직을 통해 실제 랜섬웨어 행위를 수행하는 [그림 2] DLL(Dynamic Link Library​) 파일로 복호화한다. 그런 다음, 생성된 DLL 파일의 메서드(Method)를 델리게이트(Delegate) 함수를 사용해 호출한다. 여기서 DLL 파일이란 다른 프로그램에서 특정 작업을 수행하기 위해 호출할 수 있는 함수나 클래식 몇 변수가 들어있는 파일 형식을 말한다.

 


[그림 1] 복호화 로직



[그림 2] 복호화된 DLL 파일


[그림 3] 
복호화된 DLL 파일 호출

​해당 DLL 파일은 aspnet_compiler.exe 프로세스를 생성한 다음, 인젝션하여 랜섬웨어를 실행한다. 아래와 같이 파일이 복구되는 것을 막기 위해 섀도 복사본을 삭제하고, 데이터베이스 서비스를 종료한다. 참고로 섀도 복사본은 볼륨 스냅샷 서비스(Volume Snapshot Service)라고도 하는데, 특정 시점의 파일이나 폴더, 볼륨의 스냅샷 또는 수동 및 자동 복사본을 저장하는 기능으로 운영체제를 설치할 때 기본으로 활성화돼 있다.

Ÿ   C:\Windows\system32\cmd.exe /c @echo off sc config browser sc config browser start=enabled vssadmin delete shadows /all /quiet sc stop vss sc config vss start=disabled sc stop MongoDB sc config MongoDB start=disabled sc stop SQLWriter sc config SQLWriter start=disabled sc stop MSSQLServerOLAPService sc config MSSQLServerOLAPService start=disabled sc stop MSSQLSERVER sc config MSSQLSERVER start=disabled sc stop MSSQL$SQLEXPRESS sc config MSSQL$SQLEXPRESS start=disabled sc stop ReportServer sc config ReportServer start=disabled sc stop OracleServiceORCL sc config OracleServiceORCL start=disabled sc stop OracleDBConsoleorcl sc config OracleDBConsoleorcl start=disabled sc stop OracleMTSRecoveryService sc config OracleMTSRecoveryService start=disabled sc stop OracleVssWriterORCL sc config OracleVssWriterORCL start=disabled sc stop MySQL sc config MySQL start=disabled


[그림 4] RAPIT 프로세스 트리

이후 감염의 범위를 확장하기 위해 [그림 5]와 같이 드라이브를 체크하고, [1]의 특정 폴더와 파일명, 확장자를 제외하고 모두 감염시킨다.


[표 1] 암호화 제외 목록


[그림 5] 드라이브 체크

각 파일은 ‘[기존파일명].Globeimposter-Alpha666qqz’의 확장자로 암호화되며, 암호화 이후에는 ‘HOW TO BACK YOUR FILES.txt’라는 이름으로 랜섬 노트가 생성된다.


[그림 6] 암호화 후 생성된 랜섬 노트​

MS-SQL, MySQL 등 데이터베이스 서버를 노리는 위협으로는 부적절하게 계정 정보를 관리하고 있는 시스템에 대한 무차별 대입 공격과 사전 공격, 그리고 패치되지 않은 시스템에 대한 취약점 공격이 대표적이다.

 

MS-SQL 서버 관리자는 이들 공격에 대비하려면 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하는 것이 좋다. 또한, 반드시 최신 버전으로 패치해야 한다.

 

자세한 내용은 ASEC 블로그에서 확인할 수 있다.

  • AhnLab 로고
  • 콘텐츠기획팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기