DB

Westeros.GOT사는 다수의 SQL Injection 공격을 WAF를 통해 탐지하였으며 서버 접근 권한을 SQL Injection으로부터 탈취당한 것에 두려움에 떨고 있다.  해당 고객사는 조사관에게 서버 탈취 여부에 대해 조사 요청하였다.

 

조사관은 Westeros사로부터 디스크 파일(‘2020-02-05T110520_SQL.vhdx’)을 전달받았다.

조사를 진행해보니, 해당 회사는 MSSQL을 이용하고 있었다.

Microsoft SQL Server 2019 (RTM) - 15.0.2000.5 (X64)

 

뿐만 아니라, 서버 계정을 로그를 통해 살펴보니 ‘sa’계정을 그대로 이용중인 것을 확인하였다. 이 계정은 MSSQL 설치시 디폴트로 생성되는 계정이기 때문에 잘 알려진 계정이라고 볼 수 있다. 이 말인 즉슨, 해커의 타깃이 되기도 쉽다는 것이다. 그리고, 관리자 권한으로 웹 사이트를 구동한다면, 쉘을 얻었을 때 해커 역시 관리자 권한을 부여받게 된다. 해커가 Westeros.GOT 사의 웹 사이트에서 SQL Injection벡터를 발견하였다면, sa 계정과 관련 된 정보를 조작하려고 시도할 것 이다. MSSQL은 xp_cmdshell이라는 프로시저를 제공하고 있다. 이는 본래 유저의 편의를 위해 제작된 것이지만, 안타깝게도 sql injection취약점이 존재하는 경우 유저에게 치명적인 역할로 변경될 수 있다. 해당 침해사고에서는 xp_cmdshell의 값이 0에서 1로 변경 되는 로그를 발견하였다.

2020-02-05 11:02:44.65 spid55      Configuration option 'xp_cmdshell' changed from 0 to 1. Run the RECONFIGURE statement to install.

다시 말해, sql injection 취약점을 해커가 발견하였고, 원활한 원격접속으로 persistence를 진행하기 위해 xp_cmdshell 값을 1로 변경하여 서버 내부에서 command injection 으로 이득을 취할 수 있게 된 것이다.

조사관은 Westeros.GOT사의 웹 사이트의 어느 부분이 SQL Injection에 취약했는지 파악하고자 하였다. 의뢰인으로부터 받은 가상디스크에는 event log 와 mssql log만 존재하였다.

추가적인 공격행위에 대해 조사하기 위해 ‘Bits-admin’의 로그를 2020-02-05 11:02 기준으로 살펴보았지만, 마이크로소프트와 연관 된 행위만 한 것으로 확인되었다. SMB 관련 로그 역시 공격으로 유추할 만한 정보가 발견되지 않았다.

IIS와 관련 된 ‘inetpub’ 디렉터리를 의뢰자가 제공해주지 않았기 때문에 웹 로그를 확인할 수 없었다.