[보안뉴스 / 6.20.] BAT 파일 확장자 단 ‘멜록스’ 랜섬웨어, MS-SQL 서버 공격 중

Remcos RAT와 Mallox 등 현재까지 2개 확장자 유포 파일 확인
부적절하게 관리되고 있는 MS-SQL DB 서버 대상 악성코드, 비 실행 파일 발견 증가

[보안뉴스 김영명 기자] 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 BAT 파일 확장자의 멜록스(Mallox) 랜섬웨어가 유포되고 있는 것으로 드러났다. MS-SQL 서버를 대상으로 유포되는 파일 형태가 .exe 파일 확장자와 더불어 파일리스(Fileless) 형태인 BAT 파일 확장자도 사용되고 있는 것이다. 현재까지 확인된 BAT 파일 확장자 유포 파일은 렘코스랫(Remcos RAT)과 멜록스(Mallox) 랜섬웨어가 있다.

▲killerrr.bat 파일 생성 및 실행하는 행위[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 최근 MS-SQL 서버를 공격 중인 BAT 파일 확장자의 멜록스 랜섬웨어를 발견했다. BAT 파일 확장자 유포는 파워쉘(powershell)과 sqlps를 사용한 사례 등 두 가지 모두 존재한다. 안랩의 AhnLab Smart Defense(ASD) 로그를 통해 탐지한 결과, 다운로드 주소가 Tst.bat로 확인된다.

파워쉘 명령어로 다운로드된 BAT 파일은 CMD로 실행된다. BAT 파일명과 동일한 실행 파일을 같은 경로에 생성한다. bat.exe 파일명의 생성된 실행 파일은 마이크로소프트 윈도 정상 파일인 파워쉘이다.

멜록스 랜섬웨어는 해당 랜섬웨어의 본체인 데이터를 윈도 정상 프로세스인 MSbuild.exe에 인젝션 기법 중 하나인 Process Hollowing을 수행한다. 또한, 동일 경로에 killerr.bat 파일을 생성하고 실행한다. killerr.bat 파일의 실행 증적을 보면, 파일 이름에서 유추할 수 있듯 다수의 프로세스를 종료시키고 다수의 서비스를 종료 및 삭제한다.

악성코드 감염 대상 프로세스의 이미지를 언매핑하고 자신의 이미지를 매핑하는 인젝션 기법인 프로세스 하울링(Process Hollowing) 기법이 있다. 이 기법을 적용해 실행된 MSBuild.exe의 랜섬웨어 행위를 EDR에서 탐지한 화면을 보면, 디코이 파일이 암호화된 내용을 확인할 수 있으며, 볼륨 섀도 복사본을 삭제하는 명령을 수행한 이력도 남아 있다. 암호화된 문서파일에 대한 내용도 모두 기록된다. 또한, 윈도 기능을 이용해 복구하는 것을 차단하기 위해 수행하는 명령어로 모두 기록돼 있는 것도 확인이 가능하다.

▲인젝션된 MSBuild.exe의 랜섬웨어 행위[자료=안랩 ASEC 분석팀]

최근 부적절하게 관리되고 있는 MS-SQL 데이터베이스 서버를 대상으로 설치되는 악성코드는 실행파일도 있지만, 파일리스(Fileless) 방식인 비 실행 파일(NON-PE)도 발견되고 있다. MS-SQL 데이터베이스 서버를 대상으로 하는 공격에는 부적절하게 계정정보를 관리하고 있는 시스템들에 대한 무차별 대입 공격(Brute Forcing)과 사전 공격(Dictionary Attack)이 대표적이다. 공격 대상이 되는 MS-SQL 서버의 경우 데이터베이스 서버로서 직접 구축한 형태 외에도 ERP 및 업무용 솔루션 설치 과정에서 함께 설치되는 경우도 다수 존재한다.

안랩 ASEC 분석팀은 “관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경해 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치해 취약점 공격을 방지해야 한다”고 말했다. 이어 “외부에 오픈돼 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 공격자로부터의 접근을 통제해야 한다”고 당부했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>