[Massacan 랜섬웨어] 공격 이용 도구 (1)

1. xp_cmdshell (운영체제 명령어 실행용)

공격자는 외부에서 지속적으로 SQL 서버 관리자 계정에 로그인을 시도했다.

SQL 에러 로그를 확인한 결과 xp_cmdshell 실행 이력을 확인할 수 있었다. SQL 원격 명령어 기능을 활성화한 정황이 확인되었다. xp_cmdshell은 운영체제 명령어를 실행할 수 있기 때문에 MS-SQL에서는 기본적으로 비활성화 처리를 하고 있는데, 이를 사용하기 위해서는 높은 수준이 권한이 필요하며, 그 권한을 획득하면 해당 기능 사용이 가능하다. 앞서 살펴본 공격 과정에서 공격자는 admin 계정을 취득했기 때문에 xp_cmdshell 명령어를 통한 서버 관리자 계정 획득이 가능했던 것으로 보인다.

 

2. AnyDesk (원격 접속용)

사실상 단순 소프트웨어 회사에서 판매하고 있는 원격 접속 툴이다. 공격 시에 자주 사용되는 툴이기 때문에 원격 접속을 하게될 때는 늘 주의해야 한다. 합법적으로 남의 PC에 접근할 수 있는 방법이고 이는 백신이나 탐지 룰을 우회할 수 있는 방법이기 때문에 공격자들이 애용하는 방법 중 하나다. 공격 당시에는 AnyDesk 관련 방화벽이 open되어있었고, 방화벽 정책 추가, 모든 원격 주소와 포트를 열어놨었기 때문에 가능했다.

 

3. HRSword (모니터링 및 안티포렌식)

난생 처음듣는 도구였다. 이건 target PC의 프로세스를 모니터링하거나 보안 및 로깅 관련 소프트웨어를 삭제할 수 있는 툴이었다. 앞서 얻은 xp_cmdshell의 권환을 획득해 HRSword 관련 프로그램을 실행한 흔적이 발견되었다.

명령어는 악용이 되는 것을 막기 위해 생략한다.

 

4. Shandian Scanner (포트 스캐닝)

포트 스캐닝을 위해 존재하는 툴이다. 공격자는 이 툴을 이용해 target PC에 501/tcp 포트가 열려있는 것을 확인할 수 있었다. 또한 501 포트를 사용하는 내부 네트워크 대역에서 1433/tcp(MS-SQL 서버)와 3389/tcp(RDP) 포트가 열려있는 것을 추가로 확인할 수 있었다.