2019-11-19 17:10 (화)
MS SQL 서버 대상으로 하는 백도어 발견돼
상태바
MS SQL 서버 대상으로 하는 백도어 발견돼
  • 길민권 기자
  • 승인 2019.10.29 01:00
이 기사를 공유합니다

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아는 ESET 연구소에서 skip-2.0 이라는 새로운 백도어의 샘플을 발견했다고 밝혔다.

Skip-2.0 백도어는 최근 악명 높은 사이버 스파이 그룹 Winnti의 사이버 공격 무기고에 추가된 것으로 알려졌다. 특히 skip-2.0 은 MSSQL Server 11 및 12를 대상으로 하며 공격자는 매직 패스워드를 사용하여 MSSQL 계정에 연결할 수 있다. 이러한 연결은 로그에서 자동으로 숨겨진다.

이 백도어를 통해 공격자는 데이터베이스 내용을 몰래 복사, 수정 또는 삭제할 수 있다. 예를 들어, 이것은 게임 내 통화를 조작하여 금융 이익을 얻기 위해 사용될 수 있습니다. Winnti 운영자들은 과거에도 게임 내 통화 데이터베이스를 악의적으로 조작한 것으로 알려져 있다.

Winnti 그룹을 조사하는 ESET 연구원 Mathieu Tartare는, “이 백도어를 이용하면 공격자는 특수 암호를 사용하여 피해자의 MSSQL 서버에서 지속성을 확보할 수 있을 뿐만 아니라 해당 암호를 사용할 때 비활성화 된 여러 로그 및 이벤트 게시 메커니즘 덕분에 탐지되지 않은 상태를 유지할 수 있다.”고 설명하며, “여러 MSSQL Server 버전에 대해 skip-2.0을 테스트한 결과 MSSQL Server 11 및 12에서만 특수암호를 사용하여 성공적으로 로그인할 수 있음을 발견했습니다. MSSQL Server 11 및 12는 최신 버전이 아니지만 가장 일반적인 버전이다.”라고 덧붙였다.

ESET은 skip-2.0과 Winnti Group이 보유한 알려진 다른 악성 툴들 사이에 여러 유사점을 발견했다. 이러한 예로는 동일한 후킹 절차를 사용하는 VMProtected 런처, 커스텀 패커 및 Inner-Loader 인젝터 등이 있다. Tartare는, “이로 인해 skip-2.0 도 해당 툴셋의 일부 라고 생각하게 되었다.”라고 언급했다.

ESET 연구원들은 한동안 Winnti Group의 활동을 추적해 왔다. 이 그룹은 2012 년부터 활동해 왔으며 비디오 게임 및 소프트웨어 산업에 대한 주요 공급망 공격을 감행해 왔다.

ESET은 최근 Winnti Group의 무기고에 대한 이해를 업데이트하고 이전에 문서화되지 않은 PortReuse 백도어를 공개하는 백서를 발표했다.

ESET 보안 블로그 게시물 “Winnti Group의 skip-2.0 : a Microsoft SQL Server backdoor”는 이 백도어의 더 많은 기능을 설명하는 기술 정보와 Winnti Group의 알려진 무기고, 특히 PortReuse 및 ShadowPad 백도어와의 유사성을 설명하는 기술 정보를 제공한다.

★정보보안 대표 미디어 데일리시큐!★