* 출처는 안랩입니다.
최근에는 국내 의료 기관을 공격해 코인 마이너를 설치하는 공격 사례가 확인됐다.
이번 사례에서 공격 대상이 된 웹 서버는 윈도우 IIS 서버였으며, 웹 셸이 업로드된 경로명을 보면
PACS(Picture Archiving and Communication System) 제품이 설치된 시스템인 것으로 추정된다.
[그림 1] 공격 과정에서 확인된 웹 셸 업로드 경로
PACS는 환자의 의료 영상을 디지털로 관리하고 전송하는 시스템으로써 병원에서 의료 영상을 시공간의 제약을 받지 않고 조회 및 판독하기 위해 사용하는 시스템이다. 따라서 현재 많은 병원에서 PACS를 사용하고 있으며, 이 PACS 시스템에는 여러 전문 업체가 있어 의료 기관에 따라 사용하는 PACS 제품이 다를 수 있다.
공격 대상이 된 웹 서버에서는 다수의 웹 셸 업로드 시도가 확인됐으며, 구체적인 정황은 확인되지 않았지만, PACS 제품에 취약점이 있거나 관리자가 적절하게 보안 설정을 구축하지 않았을 것으로 추정된다. 해당 서버는 며칠 간격으로 두 공격자가 공격을 수행한 것으로 보이는데, 이는 웹 셸 업로드 공격이 두 차례에 걸쳐 일어났으며, 두 공격 간 직접적인 연관성이 확인되지 않았기 때문이다.
두 공격 모두 중국어를 사용하는 공격자에 의해 이루어진 것으로 추정되는데, 이는 Cpolar, RingQ와 같은 중국어로 개발된 툴과 중국어로 된 주석이 확인됐기 때문이다. 참고로, 국내 취약한 웹 서버 대상 공격들 중 상당수는 중국어를 사용하는 공격자들로 추정되는 사례들이다.
1. 첫 번째 공격 사례
처음 확인된 공격에서 공격자는 Chopper, Behinder와 같은 웹 셸을 사용했다. 웹 셸 업로드에 성공한 공격자는 다음과 같은 명령들을 사용해 시스템의 정보를 수집했다.
|
> whoami |
이후 설치한 웹 셸을 통해 권한 상승 툴인 BadPotato와 프록시 툴 Cpolar를 설치했다. Cpolar는 중국 개발자가 제작한 터널링 툴로, Ngrok와 유사하다. 이런 툴은 일반적으로 외부에서 NAT 환경 내부에 존재하는 시스템에 접속할 수 있도록 하기 때문에, 공격자가 외부에서 RDP(Remote Desktop Protocol) 원격 접속을 위해 설치하는 경향이 있다.
[그림 2] 공격에 사용된 Cpolar 툴
공격자는 이후 코인 마이너 악성코드를 설치했다. 이 과정에서 가장 먼저 “1.cab” 파일을 다운로드했다. “1.cab” 파일 내부에는 Batch 스크립트 악성코드인 “1.bat”을 포함해 작업 스케줄러 등록에 사용될 xml, 코인 마이너 다운로더 악성코드가 포함돼 있다. 다운로더 악성코드 또한 외부에서 zip 압축 파일을 다운로드해 설치한다.
[그림 3] 다운로드되는 악성코드들
참고로, 코인 마이너 설치에 사용되는 “1.bat” 파일에서도 중국어로 작성된 주석을 확인할 수 있다.
Ngrok 툴 대신 중국어 사용자들에게 익숙한 Cpolar가 사용된 점이나, 공격 스크립트에 있는 주석에
중국어가 포함된 정황으로 보아, 공격자가 중국어 사용자라는 것을 추정할 수 있다.
[그림 4] 중국어 주석이 포함된 마이너 설치 스크립트
* 전체내용은 아래에서 확인하세요.
