Resources

KARA ransomware trend report (2)

Date 2023. 01. 18

* 1편은 여기에서 읽으실 수 있습니다.


3. 데이터베이스 타겟형 랜섬웨어 

취약한 데이터베이스를 노린 랜섬웨어 공격은 매년 크고 작은 사고가 발생하고 있다데이터 베이스는 각 기업들이 정상적인 서비스 제공을 위해 반드시 필요한 중요한 시스템 중 하나이다

웹 서버나 PC 등을 공격한 경우와 데이터베이스를 노린 공격은 피해 규모가 확연히 차이가 난다데이터베이스가 암호화되면 기업에서 제공하는 대부분의 정상적인 서비스가 불가능하며 암호화된 파일을 복호화 해야할 경우 1순위로 복구를 해야하는 시스템이다

또한 취약한 데이터베이스를 선정하여 공격하는 경우는 이미 오래전에 알려진 취약점과 기본적인 보안 사항을 조치하지 않은 서버로 공격자 입장에서 손쉽게 침투할 수 있어 꾸준히 공격 방법으로 이용되고 있다.


공격자들은 이런 점을 노려 외부에 노출된 취약한 데이터베이스 서버를 확인하여 공격을 시도하며 원격 데스크톱 서비스가 열려 있는 경우 혹은 외부에 노출된 데이터베이스에 무작위 대입 공격과 사전 공격을 수행하여 침투를 한다.


최초 침투 후 관리자 계정을 타깃으로 무작위 대입 공격 혹은 사전 공격을 수행하여 계정을 수집한다수집된 계정 정보를 이용하여 운영체제 명령을 수행할 수 있는 ‘xp_cmdshell’을 활성화하고 스크립트 파일 혹은 파워쉘 명령어 실행을 통해 추가적인 악성행위를 수행한다

내부 네트워크를 탐색하고 공격 거점을 만들기 위해 각종 수집스캔원격 접속을 위한 도구를 사용한다침투 후 모든 준비가 끝나면 마지막으로 랜섬웨어를 실행하고 내부 이동을 통해 다수의 서버 혹은 PC를 감염시킨다


취약한 MS-SQL 서버를 노리는 GlobeImposter, Mallox(Fargo), Masscan 랜섬웨어가 최근 가장 활발히 활동하고 있는 것으로 확인된다. GlobeImposter 랜섬웨어는 앞서 언급한 3가지 랜섬웨어 중 가장 오래된 랜섬웨어이다. 2017년 최초로 발견되었으며 2019년 다양한 기능을 업데이트 후 미국유럽아시아 등의 지역을 대상으로 공격을 시도하였으며 주로 피싱 메일 혹은 RDP를 통한 침투를 통해 랜섬웨어를 감염시켰으나 최근 MS-SQL 서버를 대상으로 공격 및 감염 사례가 꾸준히 발견되고 있다.


다음으로 Mallox 랜섬웨어는 2021년 최초로 발견되었으며 SQL 계정 관련 공격을 통해 서버에 접속 후 추가로 설치한 원격 프로그램을 통해 랜섬웨어 공격을 시도하거나 SQL을 통해 스크립트 혹은 파워쉘 명령어를 통해 랜섬웨어 공격을 수행한다.

mallox로 불리는 랜섬웨어는 TargetCompany 랜섬웨어 그룹에서 사용한 랜섬웨어로 감염 후 변경되는 확장자가 .mallox, .FARGO, .FARGO2, .FARGO3 등으로 여러 변종이 발견되었으며 암호화 제외 대상을 확인하기위한 확장자 체크 리스트에 GlobeImposter 랜섬웨어의 최신 변종의 확장자가 포함되어 있어 일부 연관성이 확인된다.

마지막으로 Masscan 랜섬웨어는 올해 하반기 본격적으로 활동을 시작했으며 활동과 동시에 많은 감염 사례와 피해를 입혔다주로 외부에 노출된 취약한 데이터베이스를 공격하였으며 무작위 공격사전 공격 등을 수행하여 계정을 탈취하고 이를 통해 원격 접속 도구를 사용하여 랜섬웨어 공격을 수행하는 전략을 주로 사용하였다.


데이터베이스를 노린 공격은 다양한 형태와 방법으로 과거부터 꾸준히 존재해왔으며 랜섬웨어 공격이 증가하면서 이를 이용한 공격이 수면위로 드러나게 되었고 과거부터 존재해왔던 공격 방법을 통해 랜섬웨어 공격이 현재까지도 지속되고 있다

외부에 노출된 취약한 데이터베이스가 여전히 존재하고 적절한 보안 조치가 이루어지지 않는 상황이 지속되고 있어 데이터베이스 관련 공격으로 인한 랜섬웨어 피해 사례가 증가하고 있으며 이를 예방하기 위해 사고 발생 전 외부에 노출된 취약한 데이터베이스 서버에 대한 적절한 보호 조치가 필요하다.

 

 Masscan 랜섬웨어 

1) Background

📍 Masscan 랜섬웨어는 기본 포트(TCP: 1433)를 사용하는 취약한 MS-SQL 데이터베이스 서버를 대상으로 공격을 시도하며 외부에 노출된 서버를 조사하여 공격 대상을 선정한다.

📍 공격 대상을 선정 후 데이터베이스에 무작위 공격을 시도하여 SA 계정 혹은 취약한 관리자 계정을 획득하고 xp_cmdshell1, sqlps.exe2를 이용하여 공격에 필요한 명령어를 실행한다이 후 계정 생성 혹은 권한 상승원격 제어 도구 등을 사용하여 내부 침투를 시도하며 최종적으로 랜섬웨어를 실행하여 서버 및 PC를 암호화한다.

📍 MS-SQL 데이터베이스는 Microsoft 社에서 개발한 데이터베이스 서버로 ‘sqlps.exe’ 툴을 이용한 공격의 급증을 경고하기도 했다. ‘sqlps.exe’ 툴은 SQL 서버에서 사용되는 공식 PowerShell 유틸리티로 cmdlet(Native PowerShell 명령어)을 사용할 수 있도록 도와준다공식 유틸리티를 사용함으로써 흔적이 남지 않도록 명령을 수행할 수 있게 된다. 

📍 2022년 6월 국내에서 첫 발견된 랜섬웨어로 해외에서 발견된 사례는 없으며 국내의 취약한 데이터베이스 서버를 대상으로 타겟형 공격을 시도한 것으로 확인된다.

📍 최초 발견된 6월 이후 Masscan 랜섬웨어에 감염된 피해 기업은 수십 건으로 확인되고 있으며 제약바이오 등 다양한 업종에서 감염 사례가 발생하고 있다업종에 관계없이 외부에 노출된 취약한 데이터베이스 서버를 보유한 기업을 선정하여 공격 수행한다.

📍 2022년 7월에는 콜택시 서버 운영 업체의 랜섬웨어 감염으로 강원부산대전 등의 약 18개 시군 지역에서 택시 호출 서비스가 중단되었으며 피해가 급증하여 공격자에게 비용을 지불하여 복구 한 사례가 있다


2) 특징

📍 Masscan 랜섬웨어는 .NET 언어로 개발되었으며 실행 시 설정 값을 포함하는 파일(Encrypt.exe.config or Encrypt.app.config or *.config)이 있어야 정상 실행이 된다설정 값 내용으로는 변경 확장자공용 키랜섬노트 내용 등을 포함하고 있다

📍 최초 발견시 변경되는 확장자는 .masscan-F-{id형태로 변경되었으며 이 후 식별 값이 F, R, G 순으로 변경되어 최근에 발견되는 랜섬웨어는 확장자를 .masscan-G-{id}으로 변경한다

📍 파일 암호화 전 시스템 구동 및 복호화 방법을 정상적으로 안내하기위해 파일의 확장자 및 파일명을 체크하며 .dll, .exe, .Recover 확장자랜섬노트 파일명의 파일은 암호화 대상에 서 제외된다데이터베이스 관련 파일백업 파일압축 파일 등을 체크하여 리스트와 동일 한 경우 기존에 변경되는 확장자 뒤에 ‘-Recover.{Round number}.Recover’ 문자열을 추가 한 별도의 파일을 생성한다해당 파일은 추가적인 식별자를 포함하는 것으로 보이지만 파일을 삭제하고 있어 확인 목적으로 사용했을 가능성이 존재한다.

📍 가장 최근에 수정된 파일을 우선순위로 암호화 대상 리스트를 생성하고 암호화 대상이 되 는 파일의 크기를 체크하여 일정 크기 이상일 경우 파일의 일부분만 암호화하여 다수의 파일을 빠르게 암호화하는 로직을 사용하며 스레드를 통해 로컬 및 네트워크 드라이브의 파일 암호화 작업을 동시에 수행한다

📍 암호화에 사용된 알고리즘은 AES 대칭키 방식을 사용하며 암호화 전 설정 값 로드 시 사용될 키 값을 불러온 뒤 RSA 암호화 알고리즘을 통해 키를 보호한다랜섬웨어 주요 동작을 수행하기 전 설정 값이 있는 파일로부터 필요한 값들을 로드 후 바로 삭제하기 때문에 공격자의 개인 키를 통해서만 복호화가 가능하다.

📍 암호화 로직 중 파일 크기가 작은 경우에만 보호된 키 값을 파일 첫 부분에 저장을 하고 파일 크기가 큰 경우에는 저장하지 않는다한번 생성한 AES 대칭 키를 재사용하기 때문에 빠른 작업을 위해 선택한 방식으로 보여진다.

📍 탐지 및 사고 분석을 회피하기 위한 방법으로 앞서 언급한 config 파일 사용과 이벤트 로그를 삭제하고 공격에 사용한 도구 및 계정들을 삭제하여 흔적을 지운다


3) IoC

📍SHA256, File name, IPv4 *사진 첨부

 

■ 랜섬웨어 Mitigations

공격자는 공격대상을 선정하기위해 공격자 그룹이 수립한 전략을 통해 다양한 방법으로 정찰을 수행하며 이후 내부 인프라에 침입하여 파일을 암호화 시키고 자산을 위협하며 데이터 유출을 통한 협박을 시도한다

이러한 피해를 예방하기위해 타겟형 APT 공격에 대한 대비와 침입에 대한 각 단계별 적절한 보안 요소 및 프로세스를 마련하여 공격자 그룹이 목표를 달성하기 전에 탐지하고 차단할 필요가 있다

이를 위해 SK쉴더스 랜섬웨어 대응센터와 KARA는 랜섬웨어 대응 종합컨설팅이 가능한 One-Stop 서비스를 운영하고 있고현재 보안 수준을 확인하기 위한 무료 컨설팅도 제공하고 있다