[Massacan 랜섬웨어] 공격 이용 도구 (2)

(5) mimikatz

- 시스템 관리자 계정 인증 정보를 획득해 권한 상승을 할 때 사용한 도구

- 윈도우 호스트 캐시에 저장된 NTLM 값을 통해 시스템 인증정보를 획득하거나 권한 상승 등을 할 수 있음

*NTLM (NT LAN MANAGER) : 윈도우에서 제공하고 있는 인증 프로토콜, 사용자 신원을 인증하고 활동의 무결성 및 기밀성을 보호하기 위해 MS에서 제공하는 보안 프로토콜이긴 하지만 사용 안 하는 것을 권장하고 있다.

클라이언트의 신원을 확인하기 위해 사용하는 방법으로, challenge-response 방법을 사용하기 때문에 네트워크를 통해 암호 등의 정보를 전송할 필요가 없다.

 

(6) sqlck

- MS-SQL 서버에 brute force attack을 가하여 시스템 DB의 계정 및 암호를 추출할 때 사용한 도구

- 공격 대상을 설정하는 파일과 bruteforce password list를 생성하여 공격

ex) Sqlck.exe -i [공격대상설정파일] -p [패스워드 리스트] -o sqlck.txt -l log.txt -t 1000 -c

 

(7) SQLTOOLS

- 위에서 획득한 MS-SQL 서버 인증정보를 이용해 MS-SQL 서버 관리 콘솔에 접근, DB에 접속함.

- 이후 SQLTOOLS를 이용해 xp_cmdshell를 호출해 시스템 쉘, 디렉터리 목록 등을 확인함.

*xp_cmdshell : MS-SQL에서 운영체제 명령어를 실행할 수 있도록 하는 함수

 

(8) MASS SCANNER

- 포트 스캐너

- 해당 도구를 이용해 내부 IP 대역의 SMB 취약점을 확인.

*SMB 취약점(MS17-010)

   - SMB : Server Message Block, 네트워크 상 존재하는 노드들 간에 자원을 공유할 수 있도록 설계된 프로토

   - SMB 취약점 : 운영체제가 SMB v3 프로토콜의 압축패킷을 처리하는 과정에서 오류가 발생하는 취약점.

   - 공격 : 조작된 패킷을 SMB 서버에 전송해 원격에서 인증을 거치지 않은 상태로 원격 코드 실행 가능.

               단 SMB v3가 탑재된 서버여야 하며, 악성 SMB v3 서버의 설정 내용을 변경해 클라이언트(victim)가

               이 서버와 연결되도록 유도해야 함.

 

(9) NET USER

- 윈도우 명령어 (악성 X)

- PC 사용자 계정을 생성할 수 있음.

- 공격자는 권한 상승 후, 이 명령어를 이용해 sysadmin의 비밀번호를 "qwerty123456"으로 변경함

 

(10) netpass

- 시스템에 존재하는 최근 로그온한 사용자의 네트워크 패스워드를 복구함.

- Nirsoft의 합법적인 도구

- 외부 드라이브에 존재하는 credential 파일 password도 복구가 가능하다.

 

(11) taskkill / sc

- 랜섬웨어 실행 전 DB 관련 파일 암호화를 하기 위한 사전 작업

- 윈도우 명령어

- 프로세스를 강제종료할 수 있는 명령

- 해당 명령어를 이용해 DMBS 관련 프로세스, 서비스를 중지시킴

 

(12) wevtutil

- 윈도우 명령어

- 이벤트 로그 관리 도구

- 해당 명령어를 이용해 공격 흔적 중 하나인 이벤트 로그를 삭제하는 행위를 함.

 

다음 글에서는 Masscan 랜섬웨어를 본격적으로 살펴보도록 하자,,,!!!!!!