[금보원] 인텔리전스 보고서 공부 - 1(개요)

시작하기 앞서 이글은 최신 보안 위협들의 동향 공부를 위해 금보원에서 주기적으로 발간하는 인텔리전스 보고서를 읽어보면서 블로그에 정리하고, 내가 모르는 개념들을 공부해보기 위해 작성하는 글이라는 점을 미리 알린다.

 

https://www.fsec.or.kr/bbs/detail?menuNo=244&bbsNo=11174

금융보안원

 

현 시점에서 가장 따끈 따끈한, 오늘 올라온 인텔리전스 보고서이다. 최근 랜섬웨어 공격들 중에서 Masscan이라는 종류의 랜섬웨어에 대해 분석했다.

 

글의 포맷은 계속해서 바뀔 수 도 있겠지만 아마 보고서에서 읽고 공부할 만한 부분들을 요약하고, 해당 글에서 내가 모르는 개념들이나 중요한 개념들을 아래에 따로 정리하는 식으로 진행 할 것이다.

 

---

개요

 

Masscan 랜섬웨어의 특징은 공격자가 보안에 취약한 DB 서버에 침투하여 랜섬웨어를 유포한다는 것과 파일을 암호화하고 파일 확장자에 '.masscan' 문자열을 추가한 것이다. 

 

내가 리뷰할 보고서는 해당 랜섬웨어의 피해 사례중 하나를 심도있게 분석한 것으로, 그 시스템에서는 인터넷에 MS-SQL 서비스 포트(1433/tcp)가 오픈되어 있고, DB 계정의 비밀번호가 단순하게 설정되어 있어 공격자의 무차별 대입 공격에 취약했다. 공격자는 DB 서비스에 로그인해 MS-SQL에서  OS 명령을 실행할수 있도록 하는 시스템 저장 프로시저 xp_cmdshell을 이용해서 윈도우 관리 계정을 생성하고 막혀있던 원격데스크톱 포트를 변경하여 접속하였다. 이후 기본 시스템 관리자 계정 비밀번호를 변경하고 추가 공격도구와 함께 랜섬웨어를 실행하는 악성 행위를 수행했다. 또한 공격자는 추가 공격 대상을 물색하기 위해 인근 서버 및 내부 IP 대역을 대상으로 측면 이동을 시도하였다.

 

또다른 특징으로 Masscan 랜섬웨어는 암호화 관련 정보를 파일 내부에 보관하는 기존 랜섬웨어와 다르게 config 파일에 따로 저장하는 특징을 가진다. 공격자는 해당 파일에 확장자와 암호화 관련 키 정보, 랜섬노트 데이터를 저장해 별도로 관리하여 랜섬웨어 업데이트 및 피해 시스템 관리를 수행한다. 복호화 도구 또한 복호화를 위한 키 정보를 별도 파일로 보관하며 현재까지는 키 정보 없이 복호화 도구 만으로 암호화된 파일 복구는 불가능하다. 

 

---

xp_cmdshell

xp_cmdshell은 MsSQL의 가장 큰 보안 취약점이다. Injection 공격을 수행해서 서번 권한을 탈취할 수 있으므로 해당 보고서의 주제인 랜섬웨어부터 모든 종류의 침해사고가 가능하다.

 

공격자는 xp_cmdshell이 활성화 되어있는 취약한 DB를 찾기 위해서 인터넷에 open 되어있는 MsSQL 서비스 포트를 검색하고, sa(Service Administrator) 계정에 비밀번호 무차별 대입공격을 수행한다. 

 

해당 공격을 막기 위해 관리자는 sa 계정 비활성화, 혹은 로컬 포트에서만 접속 가능하게 설정, MsSQL포트 인터넷 외부 접근 차단, xp_cmdshell 비활성화 등을 수행해야한다.

 

참고: https://esonsoft.tistory.com/entry/%EC%8B%9C%ED%81%90%EC%96%B4%EC%BD%94%EB%94%A9-%EA%B0%95%EC%9D%98-MSSQL-SERVER%EC%9D%98-%EA%B0%80%EC%9E%A5-%ED%81%B0-%EC%B7%A8%EC%95%BD%EC%A0%90-xpcmdshell / https://goldb.tistory.com/8