Gwisin 랜섬웨어 공격자의 침투 및 배포 방법
Contents
Gwisin 랜섬웨어 공격자는 외부에 공개돼 있는 피해 업체의 서버에 침투한 후 해당 서버를 거점으로 내부 인프라에 랜섬웨어를 배포하는 방식을 사용한다. 내부 인프라에 랜섬웨어 배포를 위해 SFTP, WMI, 통합관리솔루션, IIS 웹 서비스 등 다양한 방법을 사용하는 것으로 알려져 있는데, 이번에 확인된 사례에서는 IIS 웹 서비스를 통해 배포한 것으로 확인됐다.
공격자는 어떤 방법으로 서버에 침투하는가?
스피어 피싱이나, 워터링 홀 등의 방법을 통해 단말 사용자의 PC를 장악하고 관리자 권한을 획득해 기업 내부 네트워크의 시스템들에 랜섬웨어를 전파하고 실행시키는 최근의 악성코드 감염 방식과 달리 Gwisin 랜섬웨어는 웹 서버를 대상으로 웹 해킹 공격을 직접 수행하여 침투를 수행하는 방식을 사용한다. 따라서 웹 해킹 공격에 대응하기 위해 웹 취약점을 점검하고 연동되어 있는 DB 보안을 강화해야 한다.
공격자는 랜섬웨어를 유포하기에 앞서 외부에 노출된 웹 서버를 대상으로 스캐닝 및 SQL Injection 공격을 통해 시스템 계정 정보 탈취를 시도하는 것으로 보인다.
공격 흔적 중에는 MS SQL Server를 목표로 작성된 SQL Injection 공격 코드가 리눅스 서버에서 발견된 경우도 있는 것으로 보아, 공격자는 자동화된 공격 도구를 이용해 …
공격자는 어떤 방법으로 서버에 침투하는가?
스피어 피싱이나, 워터링 홀 등의 방법을 통해 단말 사용자의 PC를 장악하고 관리자 권한을 획득해 기업 내부 네트워크의 시스템들에 랜섬웨어를 전파하고 실행시키는 최근의 악성코드 감염 방식과 달리 Gwisin 랜섬웨어는 웹 서버를 대상으로 웹 해킹 공격을 직접 수행하여 침투를 수행하는 방식을 사용한다. 따라서 웹 해킹 공격에 대응하기 위해 웹 취약점을 점검하고 연동되어 있는 DB 보안을 강화해야 한다.
공격자는 랜섬웨어를 유포하기에 앞서 외부에 노출된 웹 서버를 대상으로 스캐닝 및 SQL Injection 공격을 통해 시스템 계정 정보 탈취를 시도하는 것으로 보인다.
공격 흔적 중에는 MS SQL Server를 목표로 작성된 SQL Injection 공격 코드가 리눅스 서버에서 발견된 경우도 있는 것으로 보아, 공격자는 자동화된 공격 도구를 이용해 …
IoC
13EEF02D5E5F5543E83AD8C8A8C8FF9A
95237D0C6E6B1822CECCA34994C0D273
158.247.221.23
95237D0C6E6B1822CECCA34994C0D273
158.247.221.23