기사 한줄요약('22.10.10.) :
DB 서버를 대상으로 하는 랜섬웨어 공급이 증가하고 있는데 그중에서도 Masscan이라는 랜섬웨어가 급속도로 증가하여 DB서버와 원격 데스크톱이 열려 있는 서버를 대상으로 무작위 공격을 시도를 하기 때문에 관리자들의 주의가 필요하다고 한다.
[Masscan 랜섬웨어 공격 방식]
1. 외부에 오픈되어 있는 DB서버와 원격 데스크톱 서버를 대상으로 무작위 공격을 시도
- 외부에 노출된 기업 DB 서버 스캔(MS-SQL, 1433 포트)
- Shodan, Criminal IP 등 OSINT로 정보 수집
2. sa 계정, 관리자 계정(admin, administrator, administrators) 등 자주 사용 계정 타깃으로 브루트포싱 공격
3. 수집된 계정 정보로 xp_cmdshell 활성화 쿼리를 보냄. 스크립트를 생성하거나 파워쉘 실행.
4. 스크립트를 이용하여 공격자가 사용할 계정 생성, 악성 도구를 다운로드함.
- 악성 도구 : 원격 접속 프로그램(anydesk), 계정 탈취 도구(mimikatz), 네트워크 스캔 도구
5. 관리자 계정으로 로그인 혹은 원격 접속해 백신, 윈도우 디펜더 중지, 프로세스 종료 후 방화벽 차단을 막기 위해 원격 접속(netsh) 허용
6. 내부 이동을 위해 네트워크 스캔 도구 및 SQL 툴 이용해 네트워크 정보 수집해 다른 서버로 이동
- 이동 도구 : RDP 수집 도구, 네트워크 스캔 도구
- 주로 모든 서버와 연결되어 있는 백업 서버 이용
7. 다른 서버에 이동하여 랜섬웨어 실행시킴.
- RunExe.exe : VSS 삭제, 디렉터리 내 exe 실행
- EnCrypt.exe : 실제 파일 암호화에 사용
- 감염 후 랜섬노트 생성(RECOVERY INFORMATION !!!.txt)
8. 감염 후 공격 흔적 지움. 이벤트 로그(System, Security) 삭제, 사용 도구 삭제 등 이후 서버 재부팅 후 원격 접속 해제
김영명 기자, Masscan 랜섬웨어, DB 서버 타깃 무작위 대입 공격 통해 감염 확산, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=6&tab_type=&idx=110532
Masscan 랜섬웨어, DB 서버 타깃 무작위 대입 공격 통해 감염 확산
데이터베이스(DB) 서버를 대상으로 하는 데이터 탈취 등 해킹 사고가 빈번하게 발생했다. 여기에 최근에는 암호화폐 등장과 다크웹 및 서비스형 랜섬웨어(RaaS)의 유행으로 다양한 DB서버를 대상
m.boannews.com
