Masscan 랜섬웨어

1.개요

- 기업의 업무와 제품 등과 밀접한 연관을 지닌 데이터베이스(이하 DB)를 노린 랜섬웨어의 증가

- DB 서버를 대상으로 한 해킹시도는 빈번히 발생했으나, 암호화폐와 다크웹, RaaS의 유행으로 다양한 랜섬웨어 발생

2. Masscan 랜섬웨어

2.1 요약

- 외부에 노출되어 취약하게 운영 중인 MS-SQL(MS의 DB 관리시스템)만을 노린 랜섬웨어

- 22년 7월을 시작으로 외부에 공개되어 있는 데이터베이스에 무작위 대입 공격을 통해 침투 및 랜섬웨어 유포

 DB 서버 대상 랜섬웨어
1. Globeimposter 랜섬웨어
- 시기 : 2021 ~ 2022 상반기
- 침투 방법 : DB 서버 무작위 대입 공격, RDP가 열려있는 서버를 대상으로 무작위 대입 공격

2. mallox, 520, 360 랜섬웨어
- 시기 : 2022년 초
- 침투 방법 : Globeimposter 랜섬웨어와 유사

- 감염시 파일 확장자가 masscan-{대문자 한 글자}-{GUID 8자리}로 변경

1. 랜섬웨어 및 확장자를 통해 현재 version 3(F, R, G 버전 등)까지 나온 것으로 추정
2. 확장자 변경 사항 : masscan-F-id값(초기) ⇒ masscan-R-id값 ⇒ masscan-G-id값(현재)

 

2.2 침투 및 유표 방법

[캡쳐 1] 침투 및 유포 요약 (https://kisa-irteam.notion.site/Masscan-bca2eff1e838469faeaa47479c6bd06e)

2.2.1 정보 수집

- ATT&CK Matrix : T1596.005 Search Open Technical Database : Scan Databases

- 외부에 노출된 기업의 DB(MS-SQL, 1433 포트) 서버를 스캔하여 공격 대상 탐색

- OSINT(Open Source Intelligence)를 통해 정보 수집

 

2.2.2 무차별 대입 공격

- ATT&CK Matrix : T1190 Exploit Public-Facing Application

- 대상 DB 서버에 브루트포싱 공격 수행

 

2.2.3 계정 정보 수집

- ATT&CK Matrix : T1110.001 Brute Force : Password Guessing

- sa계정 및 자주 사용하는 계정을 대상으로 브루트포싱 공격을 통해 계정정보 수집

* sa계정 : admin, administrator, administrators 등과 같이 ERP 서버에서 사용하는 관리자 계정

 

2.2.4 실행

- ATT&CK Matrix : T1059.003 Command and Scripting Interpreter : Windows Command Shell

                                 T1059.001 Command and Scripting Interpreter : PowerShell

- 수집된 데이터베이스 계정 정보를 이용해 xp_cmdshell을 활성화 쿼리 전송, 활성화 후 스크립트 파일을 생성하거나 파워셸을 실행

* xp_cmdshell 활성화 : show advanced options 1로 변경, xp_cmdshell을 1로 변경

- xp_cmdshell을 통해 파워셸 스크립트를 사용하는 주목적은 공격자가 사용할 계정을 생성하거나 악성도구(원격접속 프로그램(anydesk) 및 계정탈취 도구(mimikatz), 네트워크 스캔 도구) 다운로드

 

2.2.5 영속성

- ATT&CK Matrix : T1136.001 Create Account : Local Account

- 파워셸을 통해서 공격자가 사용할 계정 생성

 

2.2.6 C2 서버 통신

- ATT&CK Matrix : T1219 Remote Access Software

- xp_cmdshell 또는 파워셸을 이용해 원격접속 프로그램(anydesk)을 설치하고 공격자 PC에서 원격접속

 

2.2.7 계정 정보 수집

- ATT&CK Matrix : T1003.002 OS Credential Dumping : Security Account Manager
                                 T1110.002 Brute Force : Credential Cracking

- 공격자는 계정정보를 획득하기 위해 계정탈취 도구를 사용해 계정정보 수집

- mimikatz : 계정정보 / NLBrute : RDP 계정정보

 

2.2.8 권한 상승

- ATT&CK Matrix : T1078.003 Vaild Accounts : Local Accounts
- 공격자는 계정수집 도구를 통해 관리자 계정 획득 후 관리자 계정으로 로그인 혹은 원격접속

 

2.2.9 대응 회피

- ATT&CK Matrix : T1562.001 Impair Defenses : Disable or Modify Tools
                                 T1562.004 Impair Defenses : Disable or Modify System Firewall

- 관리자 계정으로 접속한 공격자는 윈도우 디펜더 및 백신 중지 / 모니터링 도구를 이용해 프로세스 확인 후 종료 / 방화벽 차단을 막기위해 원격접속(netsh) 허용

 

2.2.10 내부 정찰

- ATT&CK Matrix : T1046 Network Service Discovery

- 공격자는 내부이동을 위해 네트워크 스캔 도구 및 SQL tool를 사용하여 네트워크 정보 수집

 

2.2.11 내부 이동

- ATT&CK Matrix : T1021.001 Remote Services : Remote Desktop Protocol

- 공격자는 이전에 수집한 정보를 이용하여 다른 서버로 원격접속하여 내부이동
- 내부이동 시 위에서 사용한 RDP 정보수집 도구 및 네트워크 스캔 도구를 통해 추가 서버를 찾으며, 가장 많은 정보를 가지고 있는 서버를 거점으로 삼아 랜섬웨어 공격준비

* 대체로 백업서버가 모든 서버와 연결되는 서버이므로, 공격자가 거점으로 많이 선택

 

2.2.12 감염

- ATT&CK Matrix : T1486 Data Encrypted for Impact

- 공격자는 거점서버를 통해 다른 서버에 접속하여 랜섬웨어를 실행(RunExe.exe 파일과 EnCrypt.exe 파일을 사용)
- RunExe.exe의 경우 VSS(VolumShadowCopy Service)를 삭제하고 디렉터리내 exe파일을 실행
- RunExe.exe를 통해 실제 파일을 암호화하는 EnCrypt.exe이 실행되어 파일을 암호화
- 랜섬웨어에 감염된 후, 각 폴더에 랜섬노트(RECOVERY INFORMATION !!!.txt)가 생성

 

2.2.13 로그 삭제

- ATT&CK Matrix : T1070.001 Indicator Removal on Host : Clear Windows Event Logs

                                 T1070.004 Indicator Removal on Host : File Deletion

- 공격자는 랜섬웨어를 실행 후 공격 흔적을 지우기 위해서 이벤트로그(Security, System), 정보수집 도구 삭제

 

2.2.14 사후 정리

- ATT&CK Matrix : T1529 System Shutdown / Reboot
- 공격자는 공격흔적을 모두 지운 뒤 서버 재부팅, 원격접속을 해제

 

2.3 공격 도구 정리

목적	이름 및 버전	MD5	기타
계정 정보 수집 및 계정 탈취	무작위 대입 공격	-	로그인 실패에 따른 다수의 로그 생성
	NLBrute.exe	e213d0fa6d84c63faf6f0f5c0551b45c	RDP 계정 탈취 도구
	mimikatz.exe 32bit mimikatz.exe 64bit	16ccba5b4f17e6aba6089f97db47d501 5c92d71871ea2367337ae2d09126498a	계정 탈취 도구
	GetPassword.exe	56398c3eb7453017af674ab85df17386	비밀번호 탈취 도구
스크립트 실행 및 파일 다운	xp_cmdshell	-	스크립트 생성 또는 파워쉘 실행 xp_cmdshell 활성화를 위한 설정값 변경 로그 생성
	PowerShell	-	공격자 사용 계정 생성 및 악성도구 다운
원격 접속	anydesk v7.0.9 anydesk v7.0.10	a1543457c743c62c73c4a6a326e190b1 0dbe3504bc5daa73e7b3f75bbb104e42	공격자 PC로 원격 접속 원격 접속 로그 생성
탐지 우회	HRSword.exe	a60a60af95a32a81795761865b7f3bd9	프로세스 중지를 위한 모니터링 도구(ver 5.0.1.1)
	netsh	-	원격접속 시 방화벽 차단을 막기위한 방화벽 허용 정책 생성
네트워크 정보 수집	ScanPort.exe	36c6f6fee875b519a81284fafb3e41b1	내부 이동을 위한 네트워크 정보 수집 sccman = 闪电扫描.exe
	NTScan.exe	1f36c64a8320284f6cc6300db7b59123
	sccman	036f82700b985d8a50b2f60c98ab9d77
	sqltool.exe	8c3b9af0c1c6db5eaa4ebd3150dc01d0
	netpass	f627c30429d967082cdcf634aa735410
랜섬웨어 유포	RunExe.exe	00e63af19c1a4cfef68df4b7acf91475	VSS(VolumShadowCopy Service)를 삭제 및 EnCrypt.exe 실행
	EnCrypt.exe	566c0616437be7bbd5ce6781981cf5e5	실제 파일 암호화 파일 masscan-F-{id} masscan-R-{id} masscan-G-{id}
	EnCrypt.exe	ea6f19b477aef535dd52132e795b4b40
	EnCrypt.exe	d055658ed50601a747d0970ed1db6242

 

3. 대응

1. 외부 접속 관리 강화

- 인가된 IP만 접근할 수 있도록 접근통제정책 적용

- 외부에 공개된 서비스 접근 차단

- 외부에 공개 시 접속 포트 변경 및 VPN을 통한 접속

- 원격 데스크톱을 이용할 경우 이중 인증 방식 적용

 

2. 계정 관리 강화

- 기본 계정정보 사용 금지 및 계정 관리 정책 수립

 

3. 백업 관리 강화

- 외부 저장장치 또는 인터넷과 연결되지 않은 PC에 정기적 백업

 

4. 기타

- 최신 OS 업그레이드 및 패치 적용

- 최신 버전의 AV 설치 및 랜섬웨어 차단 기능 활성화

- 랜섬웨어 관련 KISA에서 제공하는 서비스 등 관련된 서비스 이용

- 모의훈련을 통한 대응방안 숙지

- 임직원 교육

 

4. 참조

https://www.boho.or.kr/ransom/bbsView.do?bulletin_writing_sequence=66951&ranking_keyword= 

https://www.boannews.com/media/view.asp?idx=110532&page=1&kind=1 

https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=36327&queryString=cGFnZT0yJnNvcnRfY29kZT0mc29ydF9jb2RlX25hbWU9JnNlYXJjaF9zb3J0PXRpdGxlX25hbWUmc2VhcmNoX3dvcmQ9