새로운 백도어 Maggie 등장, 국내 MS-SQL 서버 위험

새로운 백도어 Maggie 등장, 국내 MS-SQL 서버 위험

 

독일 사이버 보안업체 DCSO CyTec팀은 

새로운 Maggie 백도어가 이미 아시아를 중점으로 

42개국 285개의 Microsoft SQL 서버를 감염시켰다고 발표했습니다. 

한국, 인도, 베트남이 상위 3위를 차지했습니다.

 

Maggie 악성코드는 국내 DEEPSoft Co. Ltd의 디지털 서명을 탑재해

*확장 저장 프로시저(sqlmaggieAntiVirus_64.dll) 형태로 유포되고 있습니다.

*확장 저장 프로시저: MS-SQL 서버에서 SQL 쿼리가 셸 명령을 실행하도록 합니다

 

ESP DLL 파일로 공격자는

SQL 쿼리를 이용해 서버를 제어하고 명령할 수 있습니다.

또한, 다른 MSSQL 서버를 대상으로 *Bruteforce를 통해 

관리자 로그인에 성공하면 하드코딩된 백도어 사용자를 추가합니다. 

*Bruteforce: 모든 문자열을 하나씩 대입해 암호를 해독하는 방법

 

보고서에 따르면 Maggie 악성코드가 지원하는 51개의 명령을 통해 

시스템 정보 쿼리, 프로그램 실행, 파일 및 폴더 상호 작용, 

원격 데스크톱 서비스(TermService) 활성화, 

SOCKS5 프록시 실행, 포트 포워딩 설정이 가능합니다.

 

DCSO CyTec은 Maggie 공격 캠페인에 대한 침해 지표(IoC)를 공유하고

영향을 받는 서버가 어떻게 활용되고 있는지 확인하기 위해 

계속 조사할 것이라고 발표했습니다.

 

MIR News

[ MS SQL Maggie Backdoor 편 ]

[ 출처 ]

https://medium.com/@DCSO_CyTec/mssql-meet-maggie-898773df3b01 

https://medium.com/@DCSO_CyTec/tracking-down-maggie-4d889872513d

감사합니다.

 

제작 : MIR Team

문의 : mss_analysis@cyberone.kr

블로그 : https://mir.team

페이스북 : https://www.facebook.com/mirteamofficial