MS-SQL 서버 취약점 노려 랜섬웨어 감염 및 데이터 유출 공격... 중소기업 노려
KISA, ‘해킹진단도구 활용 사례(취약한 MS-SQL 서버를 통한 랜섬웨어 침해사고)’ 배포
예산, 인력 부족한 중소기업도 ‘해킹진단도구’로 직접 해킹 진단할 수 있어
[보안뉴스 박은주 기자] 취약한 MS-SQL 서버를 통한 랜섬웨어 감염 및 데이터 유출 공격이 상대적으로 보안이 부족한 영세·중소기업을 대상으로 지속해서 발생하고 있다. 공격자는 MS-SQL 서버의 취약점이나 패스워드 관리 부재 등 미흡한 계정관리 환경을 틈타 공격을 자행한다. 공격자는 이러한 취약점을 악용해 랜섬웨어를 설치하거나, 민감한 데이터를 탈취해 금전적 이득을 취하려고 시도한다. 이에 따라 MS-SQL 서버 보안을 강화하고 정기적인 점검과 취약점 관리를 통해 선제적으로 대응하는 것이 필요하다.
▲KISA는 ‘해킹진단도구 활용 사례’를 배포했다[이미지=KISA]
한국인터넷진흥원(KISA)은 지난 10월, ‘해킹진단도구 활용 사례(취약한 MS-SQL 서버를 통한 랜섬웨어 침해사고)’를 배포했다. 사례에는 취약한 MS-SQL 서버를 대상으로 한 사이버 공격 내용을 해킹진단도구로 탐지하는 과정이 담겨 있다. 탐지 결과를 바탕으로 랜섬웨어 감염에 대응할 수 있는 방안을 제시하고 있다.
▲침해사고 개요도[자료=KISA]
공격 시나리오는 최근 공격 추세를 반영해 ‘랜섬웨어 공격’과 ‘데이터 탈취’를 결합한 복합적인 공격 방식으로 제작됐다. 분석 대상은 Windows Server 2019 운영체제를 사용하는 데이터베이스와 백업용 PC다. 공격은 위 개요도와 같은 흐름으로 전개된다. 공격자의 무차별 대입 공격으로 시작해 시스템 명령을 실행해 서버를 제어하고, 원격 접근 도구(RAT: Remote Access Tool)인 AnyDesk 같은 프로그램을 악용해 원격으로 접근한 후 공격을 수행하는 패턴을 보인다.
해킹진단도구는 데이터베이스 서버에서 △윈도우 명령어 셸 활성화(xp_cmdshell) △사용자(관리자) 계정 생성 △해킹이나 취약점 공격 등 관리자 권한 해킹 △윈도우 디펜더(Windows Defender) 백신의 실시간 감시 기능 비활성화 △윈도우 명령어 셸 활성화(clr_enabled)를 통해 이상 징후를 탐지했다.
▲해킹진단도구 검출 결과, 사용자 계정 생성 내용[자료=KISA]
사용자(관리자) 계정 생성 탐지 단계를 살펴보면, 해킹진단도구를 활용해 조직 내부에서 생성하지 않은 계정을 탐지했다. 공격자가 임의로 생성한 계정 이름과 계정 생성 시간 등 정보를 파악할 수 있다. 사례에 따르면 공격자는 계정을 생성하는 이유는 시스템에 장기적으로 머물기 위한 전략이다. 공격을 지속해서 수행하기 위해 전용 계정을 생성하는 것이다.
대응방안으로 계정이 임의로 생성된 경우에는 실제 사용자 여부를 확인하고, 내부 사용자가 아닐 경우 즉시 해당 계정을 삭제하도록 안내하고 있다. 진단 도구 탐지 결과에서 추가 이상 행위가 식별됐는지 확인하고 조치가 필요하다. 만일 침해사고로 확인된 경우 24시간 이내 KISA 신고(KISA 보호나라 홈페이지 혹은 국번 없이 118) 해야 한다.
백업 서버 부분에서는 데이터베이스와 동일하게 △사용자(관리자) 계정 생성 탐지 △윈도우 디펜더 백신의 실시간 감시 기능 비성화를 통해 이장 징후를 발견했다.
해킹진단도구를 통해 윈도우 디펜더 실시간 보호 기능이 비활성화 여부를 확인하고, 비활성화 시점에 공격자가 침투했을 가능성을 추가 분석했다. 공격자는 백신의 공격 탐지를 회피하기 위해 윈도우 디펜더를 무력화한다. 보안 소프트웨어가 악성 행위를 탐지하거나 차단하지 못하게 막아 악성코드를 실행하고, 데이터 유출이나 시스템 장악을 더 쉽게 하기 위함이다.
사용자가 업무 편의를 위해 윈도우 디펜더를 비활성화한 경우가 아니라면, 해킹진단도구에서 다른 이벤트가 탐지된 이력이 있는지 확인하고, 윈도우 디펜더를 포함한 백신 소프트웨어를 활용해 정밀 검사를 수행해야 한다.
한편, KISA에서는 대기업, 비영리기관 등 민간기업 전체에서 사용할 수 있는 ‘해킹진단도구’를 제공하고 있다. 보안 전문가가 아니면 탐지·분석하기 어려운 침해사고 증거 데이터를 자동으로 분석해 직관적으로 알리고, 증거 데이터를 자동으로 수집하는 도구다. 분석 결과 해킹이 의심되면 원인분석부터 재발방지 대책 수립까지 지원하고 있다. 더욱 자세한 사항은 KISA 보호나라 > 정보보호 서비스 > 주요사업 소개 > 기업 서비스에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]
KISA, ‘해킹진단도구 활용 사례(취약한 MS-SQL 서버를 통한 랜섬웨어 침해사고)’ 배포
예산, 인력 부족한 중소기업도 ‘해킹진단도구’로 직접 해킹 진단할 수 있어
[보안뉴스 박은주 기자] 취약한 MS-SQL 서버를 통한 랜섬웨어 감염 및 데이터 유출 공격이 상대적으로 보안이 부족한 영세·중소기업을 대상으로 지속해서 발생하고 있다. 공격자는 MS-SQL 서버의 취약점이나 패스워드 관리 부재 등 미흡한 계정관리 환경을 틈타 공격을 자행한다. 공격자는 이러한 취약점을 악용해 랜섬웨어를 설치하거나, 민감한 데이터를 탈취해 금전적 이득을 취하려고 시도한다. 이에 따라 MS-SQL 서버 보안을 강화하고 정기적인 점검과 취약점 관리를 통해 선제적으로 대응하는 것이 필요하다.
▲KISA는 ‘해킹진단도구 활용 사례’를 배포했다[이미지=KISA]
한국인터넷진흥원(KISA)은 지난 10월, ‘해킹진단도구 활용 사례(취약한 MS-SQL 서버를 통한 랜섬웨어 침해사고)’를 배포했다. 사례에는 취약한 MS-SQL 서버를 대상으로 한 사이버 공격 내용을 해킹진단도구로 탐지하는 과정이 담겨 있다. 탐지 결과를 바탕으로 랜섬웨어 감염에 대응할 수 있는 방안을 제시하고 있다.
▲침해사고 개요도[자료=KISA]
공격 시나리오는 최근 공격 추세를 반영해 ‘랜섬웨어 공격’과 ‘데이터 탈취’를 결합한 복합적인 공격 방식으로 제작됐다. 분석 대상은 Windows Server 2019 운영체제를 사용하는 데이터베이스와 백업용 PC다. 공격은 위 개요도와 같은 흐름으로 전개된다. 공격자의 무차별 대입 공격으로 시작해 시스템 명령을 실행해 서버를 제어하고, 원격 접근 도구(RAT: Remote Access Tool)인 AnyDesk 같은 프로그램을 악용해 원격으로 접근한 후 공격을 수행하는 패턴을 보인다.
해킹진단도구는 데이터베이스 서버에서 △윈도우 명령어 셸 활성화(xp_cmdshell) △사용자(관리자) 계정 생성 △해킹이나 취약점 공격 등 관리자 권한 해킹 △윈도우 디펜더(Windows Defender) 백신의 실시간 감시 기능 비활성화 △윈도우 명령어 셸 활성화(clr_enabled)를 통해 이상 징후를 탐지했다.
▲해킹진단도구 검출 결과, 사용자 계정 생성 내용[자료=KISA]
사용자(관리자) 계정 생성 탐지 단계를 살펴보면, 해킹진단도구를 활용해 조직 내부에서 생성하지 않은 계정을 탐지했다. 공격자가 임의로 생성한 계정 이름과 계정 생성 시간 등 정보를 파악할 수 있다. 사례에 따르면 공격자는 계정을 생성하는 이유는 시스템에 장기적으로 머물기 위한 전략이다. 공격을 지속해서 수행하기 위해 전용 계정을 생성하는 것이다.
대응방안으로 계정이 임의로 생성된 경우에는 실제 사용자 여부를 확인하고, 내부 사용자가 아닐 경우 즉시 해당 계정을 삭제하도록 안내하고 있다. 진단 도구 탐지 결과에서 추가 이상 행위가 식별됐는지 확인하고 조치가 필요하다. 만일 침해사고로 확인된 경우 24시간 이내 KISA 신고(KISA 보호나라 홈페이지 혹은 국번 없이 118) 해야 한다.
백업 서버 부분에서는 데이터베이스와 동일하게 △사용자(관리자) 계정 생성 탐지 △윈도우 디펜더 백신의 실시간 감시 기능 비성화를 통해 이장 징후를 발견했다.
해킹진단도구를 통해 윈도우 디펜더 실시간 보호 기능이 비활성화 여부를 확인하고, 비활성화 시점에 공격자가 침투했을 가능성을 추가 분석했다. 공격자는 백신의 공격 탐지를 회피하기 위해 윈도우 디펜더를 무력화한다. 보안 소프트웨어가 악성 행위를 탐지하거나 차단하지 못하게 막아 악성코드를 실행하고, 데이터 유출이나 시스템 장악을 더 쉽게 하기 위함이다.
사용자가 업무 편의를 위해 윈도우 디펜더를 비활성화한 경우가 아니라면, 해킹진단도구에서 다른 이벤트가 탐지된 이력이 있는지 확인하고, 윈도우 디펜더를 포함한 백신 소프트웨어를 활용해 정밀 검사를 수행해야 한다.
한편, KISA에서는 대기업, 비영리기관 등 민간기업 전체에서 사용할 수 있는 ‘해킹진단도구’를 제공하고 있다. 보안 전문가가 아니면 탐지·분석하기 어려운 침해사고 증거 데이터를 자동으로 분석해 직관적으로 알리고, 증거 데이터를 자동으로 수집하는 도구다. 분석 결과 해킹이 의심되면 원인분석부터 재발방지 대책 수립까지 지원하고 있다. 더욱 자세한 사항은 KISA 보호나라 > 정보보호 서비스 > 주요사업 소개 > 기업 서비스에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
