BAT 파일 확장자 단 ‘멜록스’ 랜섬웨어, MS-SQL 서버 공격 중
emcos RAT와 Mallox 등 현재까지 2개 확장자 유포 파일 확인
부적절하게 관리되고 있는 MS-SQL DB 서버 대상 악성코드, 비 실행 파일 발견 증가
[보안뉴스 김영명 기자] 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 BAT 파일 확장자의 멜록스(Mallox) 랜섬웨어가 유포되고 있는 것으로 드러났다. MS-SQL 서버를 대상으로 유포되는 파일 형태가 .exe 파일 확장자와 더불어 파일리스(Fileless) 형태인 BAT 파일 확장자도 사용되고 있는 것이다. 현재까지 확인된 BAT 파일 확장자 유포 파일은 렘코스랫(Remcos RAT)과 멜록스(Mallox) 랜섬웨어가 있다.
파워쉘 명령어로 다운로드된 BAT 파일은 CMD로 실행된다. BAT 파일명과 동일한 실행 파일을 같은 경로에 생성한다. bat.exe 파일명의 생성된 실행 파일은 마이크로소프트 윈도 정상 파일인 파워쉘이다.
멜록스 랜섬웨어는 해당 랜섬웨어의 본체인 데이터를 윈도 정상 프로세스인 MSbuild.exe에 인젝션 기법 중 하나인 Process Hollowing을 수행한다. 또한, 동일 경로에 killerr.bat 파일을 생성하고 실행한다. killerr.bat 파일의 실행 증적을 보면, 파일 이름에서 유추할 수 있듯 다수의 프로세스를 종료시키고 다수의 서비스를 종료 및 삭제한다.
악성코드 감염 대상 프로세스의 이미지를 언매핑하고 자신의 이미지를 매핑하는 인젝션 기법인 프로세스 하울링(Process Hollowing) 기법이 있다. 이 기법을 적용해 실행된 MSBuild.exe의 랜섬웨어 행위를 EDR에서 탐지한 화면을 보면, 디코이 파일이 암호화된 내용을 확인할 수 있으며, 볼륨 섀도 복사본을 삭제하는 명령을 수행한 이력도 남아 있다. 암호화된 문서파일에 대한 내용도 모두 기록된다. 또한, 윈도 기능을 이용해 복구하는 것을 차단하기 위해 수행하는 명령어로 모두 기록돼 있는 것도 확인이 가능하다.
안랩 ASEC 분석팀은 “관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경해 무차별 대입 공격과 사전 공격으로부터 데이터베이스 서버를 보호해야 하며, 최신 버전으로 패치해 취약점 공격을 방지해야 한다”고 말했다. 이어 “외부에 오픈돼 접근 가능한 데이터베이스 서버에 대해 방화벽과 같은 보안 제품을 이용해 공격자로부터의 접근을 통제해야 한다”고 당부했다.
한글 문서 파일 위장 악성코드 유포... 김수키 해킹그룹 공격 추정
생성된 update.vbs 파일에는 난독화된 명령어가 존재한다. 이를 디코딩하면 특정 링크에서 추가 스크립트를 다운로드 및 실행하는 코드가 확인된다. 해당 URL에 존재하는 스크립트 뿐만 아니라 이후 실행되는 스크립트는 사용자 정보 유출, 키로깅 등의 기능을 수행한다.
안랩 ASEC 분석팀 측은 “해당 유형의 악성코드 유포가 지속적으로 확인되고 있는 만큼 사용자의 각별한 주의가 필요하다”며 “사용자는 메일의 첨부파일 실행 시 확장자를 반드시 확인하고 알 수 없는 사용자로부터 공유받은 파일의 실행을 자제해야 한다”고 밝혔다.
문서작업 프로그램 불법 설치 파일 위장한 악성코드 주의보
[보안뉴스 김영명 기자] 최근 ‘한글 2022 크랙’ 설치파일로 위장한 파일을 파일 공유 사이트에 올려 암호화폐 채굴 및 원격제어 악성코드 등을 유포하는 사례가 발견됐다. ‘크랙(Crack)’이란 무단복제·불법 다운로드 방지 등 기술이 적용된 상용 소프트웨어를 불법으로 사용하기 위해 보호방식을 제거하는 프로그램 및 행위를 말한다.
만약 사용자 PC에 V3와 같은 백신이 없다면 원격제어 악성코드인 ‘Orcus RAT’가 다운로드 된다. Orcus RAT에 감염될 경우, 공격자가 사용자 PC를 원격으로 제어할 수 있는 권한을 획득할 수 있다. 공격자는 이 권한을 활용해 추가 명령을 내려 정보탈취 등 다양한 악성행위 수행이 가능하다. V3가 설치돼 있을 경우에는 암호화폐 채굴 악성코드인 ‘XMRig’ 설치를 시도한다. 현재 V3는 해당 악성코드 2종을 모두 진단하고 있다.
사용자는 이와 같은 피해를 예방하기 위해 △불법 콘텐츠 다운로드 금지 △인터넷에서 파일 다운로드 시 공식 홈페이지 이용 △OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 △최신 버전 백신 사용 및 실시간 감시 적용 등 기본 보안 수칙을 준수해야 한다.
