기술 지원
문서
로그인
문의하기
해커들이 FARGO 랜섬웨어로 Microsoft SQL 서버를 공격합니다.
2022년 10월 4일 TuxCare 홍보팀
안랩 보안 긴급 대응 센터(ASEC) 연구진에 따르면 마이크로소프트 SQL 서버가 파고 랜섬웨어의 표적이 되고 있다고 합니다.
MS-SQL 서버는 인터넷 서비스 및 앱의 데이터를 저장하는 데이터베이스 관리 시스템으로 간주됩니다.
파르고는 글로브임포스터와 함께 MS-SQL 서버를 집중 공격하는 가장 유명한 랜섬웨어 부족 중 하나로, 과거에는 암호화된 파일에 '.mallox' 확장자를 붙여서 "Mallox"라고 불렸습니다.
연구원들은 파고에 감염되어 실행되는 동안 감염된 컴퓨터의 MS-SQL 프로세스에서 랜섬웨어 감염이 시작되며, 이 프로세스는 cmd.exe 및 powershell.exe를 사용하여 .NET 파일을 다운로드하는 것으로 확인했습니다. 그런 다음 페이로드는 락커를 포함한 추가 멀웨어를 가져오고 특정 프로세스 및 서비스를 종료하는 BAT 파일을 생성 및 실행합니다.
그 후 랜섬웨어 페이로드는 합법적인 Windows 프로세스인 AppLaunch.exe에 자신을 주입합니다. 이 랜섬웨어는 Raccine이라는 오픈 소스 랜섬웨어 "백신"의 레지스트리 키를 삭제하려고 시도합니다. 이 멀웨어는 복구 비활성화 명령을 실행하고 데이터베이스 관련 프로세스를 종료하여 해당 콘텐츠를 암호화할 수 있도록 합니다.
파고 랜섬웨어 변종은 일부 소프트웨어와 디렉터리를 암호화 대상에서 제외합니다. 이 조치의 목적은 손상된 시스템을 완전히 사용할 수 없게 만드는 것을 방지하는 것입니다. 암호화에서 제외되는 소프트웨어와 디렉터리에는 Microsoft Windows 시스템 디렉터리, 부팅 파일, Tor 브라우저, Internet Explorer, 사용자 사용자 지정 및 설정, 디버그 로그 파일 또는 썸네일 데이터베이스가 있습니다.
암호화 프로세스가 완료되면 잠긴 파일의 이름이 ".Fargo3" 확장자로 변경되고 멀웨어가 랜섬노트("RECOVERY FILES.txt")를 생성합니다.
보안 조치로, 이제 MS SQL 서버 관리자는 시스템을 보호하기 위해 강력하고 고유한 암호를 사용해야 하며, 보안 취약성에 대한 최신 수정 사항을 설치하여 서버를 최신 상태로 유지하는 것이 중요합니다.
이 글의 출처는 BleepingComputer의 기사입니다.
