1. Introduction

1.1. Background

2000년을 전후하여 IT산업의 급격한 발전과 인프라 확대로 기업은 내부 회계, 자원, 프로젝트 및 조직 관리 등을 효율적으로 관리하기 위해 데이터베이스(Database, 이하 DB) 서버를 구축하여 목적에 따라 전사자원관리(Enterprise Resource Planning, ERP) 및 그룹웨어(GroupWare, GW) 솔루션 등으로 운영 중이며, 현재 기업 內 모든 제품 생산과 내부 업무 등과 밀접하게 연결되어 성공적인 비즈니스를 위한 중요 IT 솔루션으로 자리잡게 되었다.

하지만 기업의 중요 DB는 해커들에게도 좋은 먹잇감으로 최근에는 인터넷에 노출되어 취약하게 운영 중인 기업(대부분 중견이하 제조업체 대상)들의 MS社 DB 관리시스템(MS-SQL)만을 노린 랜섬웨어 조직(masscan, Globeimposter, mallox 등)들이 기승을 부리고 있어 한국인터넷진흥원은 증가하는 기업 피해의 확산을 조금이라도 줄이고자 사고사례를 공유한다.

1.2. DB서버 대상 침해동향과 Masscan 랜섬웨어의 등장

과거에도 DB서버를 대상으로 한 정보유출 및 삭제 등 해킹사고는 빈번했으나, 암호화폐 등장, 다크웹 및 서비스형 랜섬웨어(RaaS)의 유행으로 21년부터 DB서버 대상으로 한 다양한 랜섬웨어(Globeimposter, mallox, 520, 360 등) 공격이 발생했으며, 올해 6월말 국내 첫 Masscan 랜섬웨어 감염사례 이후 7월을 기점으로 급속히 확산되고 있는 상황이다.

<aside> 👹 masscan 랜섬웨어 감염화면

G.PNG

</aside>

데이터베이스 서버를 대상으로 한 랜섬웨어로는 Globeimposter, mallox, 520, 360 랜섬웨어가 있으며, 2021년부터 2022년 상반기까지는 Globeimposter 랜섬웨어가 가장 많이 발생하였다. Globeimposter 랜섬웨어의 경우 데이터베이스 무작위 대입 공격뿐 아니라 원격데스크톱(Remote Desktop Protocol, RDP)이 열려있는 서버를 대상으로도 무작위 대입 공격을 통해 침투하기도 했으며, 2022년 초 비슷한 공격방식으로 mallox, 360 랜섬웨어가 발견되었다.

데이터베이스 서버 대상 랜섬웨어 신고건수(1월 ~ 9월)

랜섬종류 Masscan Globeimposter mallox 360
건수 37 10 8 3

2022년 하반기 들어 처음으로 Masscan 랜섬웨어가 발생하기 시작했다. Masscan 랜섬웨어는 2022년 7월을 시작으로 급속하게 퍼져 나가고 있으며, 다른 데이터베이스 타겟 랜섬웨어와 마찬가지로 외부에 공개되어 있는 데이터베이스에 무작위 대입 공격을 통해 침투하여 랜섬웨어를 유포하고 있다.

Masscan 랜섬웨어 신고건수(7월 ~ 9월)

7월 8월 9월
건수 10건 18건 9건

Masscan 랜섬웨어의 감염된 파일은 확장자가 masscan-{대문자 한 글자}-{GUID 8자리}로 변경된다. 랜섬웨어 및 확장자를 통해 현재 version 3(F, R, G 버전 등)까지 나온 것으로 추정된다.

<aside> 💡 확장자 변경사항 masscan-F-id값(초기) ⇒ masscan-R-id값 ⇒ masscan-G-id값(현재)

</aside>

그럼 다음 장부터는 masscan 랜섬웨어가 어떻게 기업 시스템에 침투를 하여 랜섬웨어를 배포하는 지, ATT&CK 프레임워크에 기반하여 공격자의 공격전략과 기법 및 침투 단계를 상세하게 살펴보고 침투 단계 별 대응기법에 대해서 상세히 알아보자.


2. Summary

일반적인 데이터베이스 서버를 대상으로 한 랜섬웨어 공격방식이 그러하듯 Masscan랜섬웨어도 비슷하다. 데이터베이스 무작위 대입 공격을 통해 SA 계정 혹은 취약한 관리자 계정을 획득한다. 그리고 데이터베이스 내 명령 프롬프트(xp_cmdshell)를 활성화해서 계정생성 및 악성도구(권한상승 도구, 프락시 도구 등)를 다운받아 실행하고 서버에 원격접속한다. 원격접속 후 악성도구를 통해 권한상승 및 정보수집을 하고 수집된 정보를 통해 내부이동을 한다. 내부이동을 하면서 많은 서버와 연결된 백업서버나 관리자 PC를 거점으로 삼고 랜섬웨어를 배포 및 실행한다.

Untitled