국내 의료 기관 웹 서버 노린 코인 마이너 공격 주의
웹 서버는 불특정 다수의 사용자들에게 웹 서비스를 제공하기 위한 목적으로 외부에 공개돼 있다. 따라서 과거부터 공격자들이 주요 표적으로 삼았다. 안랩은 취약점이 패치되지 않았거나, 부적절하게 관리되고 있는 취약한 웹 서버를 노린 공격을 모니터링하고 있다. 최근에는 국내 의료 기관을 공격해 코인 마이너를 설치하는 공격 사례가 확인됐다. 관련 내용을 자세히 살펴보자.
이번 사례에서 공격 대상이 된 웹 서버는 윈도우 IIS 서버였으며, 웹 셸이 업로드된 경로명을 보면 PACS(Picture Archiving and Communication System) 제품이 설치된 시스템인 것으로 추정된다.
[그림 1] 공격 과정에서 확인된 웹 셸 업로드 경로
PACS는 환자의 의료 영상을 디지털로 관리하고 전송하는 시스템으로써 병원에서 의료 영상을 시공간의 제약을 받지 않고 조회 및 판독하기 위해 사용하는 시스템이다. 따라서 현재 많은 병원에서 PACS를 사용하고 있으며, 이 PACS 시스템에는 여러 전문 업체가 있어 의료 기관에 따라 사용하는 PACS 제품이 다를 수 있다.
공격 대상이 된 웹 서버에서는 다수의 웹 셸 업로드 시도가 확인됐으며, 구체적인 정황은 확인되지 않았지만, PACS 제품에 취약점이 있거나 관리자가 적절하게 보안 설정을 구축하지 않았을 것으로 추정된다. 해당 서버는 며칠 간격으로 두 공격자가 공격을 수행한 것으로 보이는데, 이는 웹 셸 업로드 공격이 두 차례에 걸쳐 일어났으며, 두 공격 간 직접적인 연관성이 확인되지 않았기 때문이다.
두 공격 모두 중국어를 사용하는 공격자에 의해 이루어진 것으로 추정되는데, 이는 Cpolar, RingQ와 같은 중국어로 개발된 툴과 중국어로 된 주석이 확인됐기 때문이다. 참고로, 국내 취약한 웹 서버 대상 공격들 중 상당수는 중국어를 사용하는 공격자들로 추정되는 사례들이다.
1. 첫 번째 공격 사례
처음 확인된 공격에서 공격자는 Chopper, Behinder와 같은 웹 셸을 사용했다. 웹 셸 업로드에 성공한 공격자는 다음과 같은 명령들을 사용해 시스템의 정보를 수집했다.
이후 설치한 웹 셸을 통해 권한 상승 툴인 BadPotato와 프록시 툴 Cpolar를 설치했다. Cpolar는 중국 개발자가 제작한 터널링 툴로, Ngrok와 유사하다. 이런 툴은 일반적으로 외부에서 NAT 환경 내부에 존재하는 시스템에 접속할 수 있도록 하기 때문에, 공격자가 외부에서 RDP(Remote Desktop Protocol) 원격 접속을 위해 설치하는 경향이 있다.
[그림 2] 공격에 사용된 Cpolar 툴
공격자는 이후 코인 마이너 악성코드를 설치했다. 이 과정에서 가장 먼저 “1.cab” 파일을 다운로드했다. “1.cab” 파일 내부에는 Batch 스크립트 악성코드인 “1.bat”을 포함해 작업 스케줄러 등록에 사용될 xml, 코인 마이너 다운로더 악성코드가 포함돼 있다. 다운로더 악성코드 또한 외부에서 zip 압축 파일을 다운로드해 설치한다.
[그림 3] 다운로드되는 악성코드들
참고로, 코인 마이너 설치에 사용되는 “1.bat” 파일에서도 중국어로 작성된 주석을 확인할 수 있다. Ngrok 툴 대신 중국어 사용자들에게 익숙한 Cpolar가 사용된 점이나, 공격 스크립트에 있는 주석에 중국어가 포함된 정황으로 보아, 공격자가 중국어 사용자라는 것을 추정할 수 있다.
[그림 4] 중국어 주석이 포함된 마이너 설치 스크립트
공격자는 위에서 다룬 악성코드만 사용해 XMRig를 설치했지만, 실제 다운로드 주소에는 훨씬 많은 악성코드가 존재한다. 웹 셸 중에는 Caidao, ASPXspy가 존재하며, 권한 상승 관련 툴로는 BadPotato 외에도 GodPotato, PrintNotifyPotato, IIS LPE (by k8gege)가 있다.
이 외에도, 포트 포워딩을 위한 툴도 Cpolar 외에 Frpc, Lcx가 업로드돼 있으며, 추후 원격으로 접속하기 위한 목적으로 사용자 계정을 추가하는 악성코드들도 존재한다. “useradd.exe” 악성코드는 인자로 추가할 사용자 계정을 전달받으면 무작위 비밀번호로 계정을 추가하고 결과를 출력해서 보여주는 툴이다.
[그림 5] Frpc 설정 파일 및 사용자 계정 추가 악성코드
[표 1] 첫 번째 공격 사례에서 사용된 마이닝 풀 주소
2. 두 번째 공격 사례
두 번째 공격은 첫 번째 공격이 이루어진지 며칠 후에 발생했다. 최초 침투 과정에서는 이전 사례와 동일하게 웹 셸을 설치했으며, 공격자는 Godzilla, Chopper, Behinder 등의 웹 셸을 사용했다. 웹 셸 업로드에 성공한 공격자는 다음과 같은 명령들을 사용해 시스템의 정보를 수집했다.
두 번째 공격에서는 Certutil을 이용해 추가 악성코드를 다운로드한 것이 특징이다. 공격자는 권한 상승 목적으로 GodPotato, PrintNotifyPotato 그리고 CVE-2021-1732 취약점 악성코드를 설치했다. 그리고 감염 대상 시스템이 속한 네트워크를 탐색하기 위해 Fscan 툴과 원격 셸을 설치해 감염 대상 시스템을 제어하기 위한 Netcat을 설치했다. 또한, 이전 사례에서 Cpolar, Frpc, Lcx를 사용한 것과 달리 이번에는 프록시 툴로서 EarthWorm을 사용한 것이 특징이다.
[그림 6] 추가 악성코드를 설치하기 위한 Certutil 명령
공격자는 이 외에도 Ladon을 설치했다. Ladon은 공격 과정에서 필요한 다양한 기능들을 지원하는데, 대표적으로 스캐닝, 권한 상승, 계정 정보 탈취, 리버스 쉘과 같은 다양한 기능들이 있다. 라돈은 중국어를 사용하는 개발자가 제작했으며, 그래서인지 중국어를 사용하는 공격자가 종종 이용하는 경향이 있다.
RingQ라고 하는 툴이 공격에 함께 사용됐다는 점도 공격자가 중국어 사용자인 것을 추정할 만한 근거 중 하나다. RingQ는 인젝터 툴이라고 할 수 있는데, 일반적인 악성코드 및 툴이 안티바이러스(AntiVirus) 제품에 의해 쉽게 탐지되는 것을 막기 위해 암호화 후 메모리 상에서 실행하는 툴이다. 공격자는 “Create.exe”를 통해 악성코드를 “main.txt”라는 이름으로 암호화해 유포하는 방식으로 안티바이러스 제품의 파일 진단을 우회할 수 있으며, 이후 RingQ를 실행하면 암호화된 악성코드 즉 “main.txt”를 메모리 상에서 실행한다.
[그림 7] 깃허브의 RingQ 프로젝트
해당 공격자의 최종 목적은 첫 번째 사례와 동일하게 코인 마이너를 설치하는 것이다. 공격자가 업로드한 Aspx 파일들 대부분은 웹 셸이지만, 이 외에도 다운로더 기능을 담당하는 Aspx 악성코드도 존재한다. 해당 악성코드는 외부에서 “aspx.exe”라는 이름의 추가 페이로드를 다운로드해 실행한다. “aspx.exe”는 다운로더로, XMRig 코인 마이너를 다운로드해 메모리 상에서 실행하는 악성코드이다.
[그림 8] 코인마이너 다운로더 악성코드
[표 2] 두 번째 공격 사례에서 사용된 마이닝 풀 주소
웹 서버를 대상으로 하는 공격은 지속적으로 발생하고 있으며, 최근에는 국내 의료 기관을 대상으로 한 공격 사례가 확인됐다. 공격은 며칠 간격으로 두 차례 발생했으며, 여러 가지 정황들로 미루어 보아, 공격자는 중국어 사용자로, 이들의 최종 목적은 코인 마이너를 채굴하는 것이었다. 공격자는 설치한 웹 셸 및 NetCat을 통해 원격 제어가 가능하며, RDP 접속을 목적으로 프록시 툴을 설치했다. 따라서 공격자에 의한 정보 유출 사태가 발생할 수 있다.
관리자는 웹 서버에 존재하는 파일 업로드 취약점을 점검해 초기 침투 경로인 웹 셸 업로드를 사전에 차단해야 하며, 비밀번호를 주기적으로 변경하고, 접근 제어를 설정해 탈취된 계정 정보를 이용한 측면 이동 공격에 대응해야 한다. 또한, V3를 최신 버전으로 업데이트함으로써 악성코드 감염을 사전에 막을 수 있도록 신경 써야 한다.
출처 : AhnLab
