취약한 MSSQL 서버를 대상으로 하는 글로브임포스터(GlobeImposter) 랜섬웨어가 국내에 유포되고 있는 것이 확인되었다. 안 그래도 2022년 2분기에 MSSQL을 겨냥한 전체 랜섬웨어 중 52.6%에 달하는데, 곧 공개될 3분기 통계에서도 큰 비중을 차지할 것으로 예상된다.
[글로브임포스터 동작 방식]
1) 복호화 로직을 통해 암호화된 내부 데이터▶ 실질적인 랜섬웨어 행위를 수행하는 DLL로 복호화
2) 생성된 DLL파일의 메서드를 델리게이트 함수를 사용하여 호출한다.
- 여기서 DLL파일이란 다른 프로그램에서 특정 작업을 수행하기 위해 호출할 수 있는 함수나 클래식 및 변수가 들어있는 파일 형식을 의미한다.
3) 해당 DLL파일은 aspnet_complier.exe 프로세스를 생성한 후 인젝션하여 랜섬웨어 실행
4) 파일이 복구되는 것을 막기 위해 섀도 복사본(shadow copy)을 삭제
- 섀도 복사본: 볼륨 스냅샷 서비스를 의미. 특정 시각의 파일, 폴더 또는 특정한 볼륨의 수동 또는 자동 복사본이나 스냅샷을 저장해준 것. 운영체제 설치 시 디폴트로 활성화.
5) 감염의 범위를 확장하기 위해 드라이브를 체크하고, 특정 폴더와 파일명, 확장자 제외하고 모두 암호화.
| 암호화 제외 폴더 | 암호화 제외 파일 | 암호화 제외 확장자 |
| windows bootmgr boot PerfLogs |
pagefile.sys ids.txt NTUSER.DAT |
.dll .lnk .ini .sys |
6) "[기존파일명].Globeimposter-Alpha666qqz" 형태로 암호화되며, "HOW TO BACK YOUR FILES.txt" 라는 이름의 랜섬노트가 생긴다.
MSSQL과 MySQL 같은 DB서버를 대상으로 하는 공격은 무차별 대입공격, 사전공격, 취약점이 패치되지 않은 시스템들에 대한 공격 등이 가능하다. 서버의 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고, 주기적인 비밀번호 변경을 권고한다.
[개인 의견]
생략
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 러시아 해커 킬넷(KillNet), 미국 내 대형 공항들에 디도스 공격 (0) | 2022.10.12 |
|---|---|
| [보안이슈] 숙련되지 않은 공격자도 쉽게 피싱 공격이 가능하게 해주는 PhaaS, 카페인(Caffeine) (0) | 2022.10.11 |
| [보안이슈] 해킹 그룹 이터니티, 서비스형 멀웨어(MaaS) 릴리스봇 판매 (0) | 2022.10.07 |
| [보안이슈] SQL Server를 타겟으로 하는 멀웨어 Maggie, 이미 전 세계적으로 전파 (0) | 2022.10.06 |
| RaaS(Ransomeware as a Service) (0) | 2022.10.06 |
