MSSQL 데이터베이스 익스플로잇: 해커들의 프리월드 배포
끊임없이 변화하는 사이버 위협의 스펙트럼에서, 보안이 취약한 Microsoft SQL(MSSQL) 서버가 해커, 특히 랜섬웨어 그룹의 주요 표적으로 부상했습니다.특히 랜섬웨어 그룹의 주요 표적이 되었습니다. 최근의 MSSQL 데이터베이스 익스플로잇 공격의 물결에서 DB#JAMMER로 알려진 최근의 공격에서 사기꾼들은 무차별 암호 대입 기술을 사용하여 MSSQL 서버에 침입한 후 Cobalt Strike와 새로운 형태의 모방 랜섬웨어로 알려진 프리월드 랜섬웨어 공격.
복잡한 공격 전략 - 접근 및 지속성
공격자들이 계획을 시작했습니다, 랜섬웨어, MSSQL 대상 무차별 대입 방식을 사용하여 MSSQL 서버 자격 증명 추측. 그들이 사전 기반 접근 방식을 사용했는지 사전 기반 접근 방식 또는 암호 스프레이를 사용했는지, 아니면 이전 데이터베이스 해킹에서 수집한 로그인 및 비밀번호 조합을 사용했는지는 확실하지 않습니다.
MSSQL 데이터베이스 익스플로잇과 관련하여 다음과 같은 사실이 밝혀졌습니다. 해커가 데이터베이스를 익스플로잇하는 데이터베이스를 악용하는 것으로 밝혀졌습니다. 해커들은 처음 액세스 권한을 얻은 후 데이터베이스를 꼼꼼하게 조사하여 액세스 권한이 있는 모든 사용자를 열거했습니다. 또한 xp_cmdshell이라는 함수가 있는지 확인했습니다. 데이터베이스 관리자는 이 Transact-SQL 문을 통해 Windows 환경에서 셸 명령을 실행하고 결과를 텍스트로 가져올 수 있습니다. 공격자들은 xp_cmdshell을 상당히 많이 사용했습니다. 공격자들은 먼저 시스템 및 네트워크 정보를 수집하기 위해 wmic.exe, net.exe, ipconfig.exe와 같은 Windows 애플리케이션을 실행했습니다. 그런 다음 이를 사용하여 Windows 계정과 시스템 레지스트리를 변경했습니다.
놀랍게도 공격자들은 피해자의 호스트에 'Windows', 'adminv$', 'mediaadmin$'라는 세 명의 새로운 사용자를 추가했습니다. 이 사용자들은 각각 '관리자' 및 '원격 데스크톱 사용자' 그룹에 추가되었습니다. 흥미롭게도 공격자들은 영어, 독일어, 폴란드어, 스페인어, 카탈루냐어 등 여러 언어에 맞춰진 대량의 한 줄짜리 명령을 사용하여 이러한 계정을 만들고 그룹 멤버십을 수정했습니다.
추가 새 사용자의 비밀번호와 로그인 세션이 만료되지 않도록 변경되었습니다.. 원격 데스크톱 프로토콜(RDP) 서비스 활성화, 사용자 액세스 제어 제한 비활성화, 로컬 로그인 화면에서 원격으로 로그인한 사용자 숨기기 등 레지스트리가 광범위하게 수정되었습니다. 이러한 데이터베이스 보안 침해 절차는 공격자가 데이터베이스 xp_cmdshell 명령을 사용하는 것보다 더 교묘하고 탐지하기 어려운 방식으로 시스템에 대한 원격 제어를 제공하도록 설계되었습니다.
하지만 해커들은 네트워크 방화벽이 들어오는 RDP 연결을 금지하는 걸림돌에 부딪혔습니다. 이를 우회하기 위해 그들은 구현을 시도했습니다. Ngrok역방향 프록시 및 터널링 솔루션.
악성 페이로드
공격자들은 자신들이 제어하는 서버에 원격 SMB 공유를 생성하여 도구와 페이로드가 포함된 디렉터리를 로컬에 마운트할 수 있었습니다. 이 저장소에는 'srv.exe'로 저장된 코발트 스트라이크 명령 및 제어 에이전트와 AnyDesk 원격 데스크톱 소프트웨어 버전이 포함되어 있었습니다.
또한 네트워크 포트 스캐너와 미미카츠 크리덴셜 덤핑 툴을 사용하여 네트워크 탐색을 시도했습니다.. 공격자들은 머신이 완전히 침투했다고 판단되면 '5000.exe'라는 파일을 드롭했는데, 이 파일은 FreeWorld라는 랜섬웨어 프로그램의 드롭퍼였습니다. 실제로 FreeWorld는 잘 알려진 Mimic 랜섬웨어의 업데이트 버전입니다.
Mimic과 FreeWorld는 모두 'Everything.exe'라는 동반 애플리케이션을 사용하여 암호화할 파일을 찾습니다. 암호화된 파일의 확장자는 '.FreeWorldEncryption'이며 랜섬웨어에는 몸값 지불 방법에 대한 지침이 포함된 'FreeWorld-Contact.txt' 파일이 포함되어 있습니다.
MSSQL 데이터베이스 익스플로잇에 대한 방어 조치
Trustwave 조사에 따르면 MSSQL은 가장 타깃이 명확한 관계형 데이터베이스 관리 시스템입니다.. 대부분의 공격은 무차별 암호 대입 기법을 사용하며, 인터넷을 통해 액세스할 수 있는 MSSQL 데이터베이스에 고유하고 복잡한 암호를 사용하는 것이 중요하다는 점을 강조합니다.
MSSQL 보안 모범 사례
용도 MSSQL 취약점 예방을 방지하려면 다음을 수행하는 것도 중요합니다. 시스템에서 xp_cmdshell 메서드 사용을 제한합니다.. 이 메서드가 없으면 공격자는 대상 시스템에서 원격 코드 실행을 훨씬 더 어렵게 할 수 있습니다.
VPN 터널 사용을 고려하세요. MSSQL 서버 보호 보안을 강화하기 위해 인터넷에 직접 노출하지 말고 VPN 터널을 사용하는 것이 좋습니다. 'C:WindowsTemp'와 같은 일반적인 멀웨어 스테이징 디렉터리를 정기적으로 모니터링하는 것이 좋습니다. Sysmon 및 PowerShell 로깅과 같은 프로세스 수준 모니터링도 이러한 랜섬웨어에 대한 방어를 강화하는 데 도움이 될 수 있습니다. 랜섬웨어 배포 방법.
결론
사이버 위협이 증가함에 따라 조직은 사이버 위협에 대해 인지하고 강력한 보안 조치를 구현하는 것이 중요합니다. MSSQL 데이터베이스 보안. 다음과 같은 방법으로 데이터베이스 아키텍처의 결함을 악용하려는 공격자에 대한 방어를 강화할 수 있습니다. 안전한 암호를 사용하고, 위험한 절차를 최소화하고, 효과적인 모니터링. 이렇게 하면 다운타임을 줄이고 규정 준수를 보장할 수 있습니다. 또한 다음과 같은 방법도 배워야 합니다. 랜섬웨어로부터 복구를 배워두면 프리월드 랜섬웨어와 같이 증가하는 위협에 맞서 비즈니스 연속성을 보장하는 데 도움이 됩니다.
이 글의 출처에는 다음 기사가 포함됩니다. 사이버 보안 뉴스 와 CSO.