악성코드 설치하는 MySQL 서버 공격 주의!

CheifEditor

16 Jun 2025 — 4 min read

[MySQL 서버 프로세스에 의한 악성코드 설치 로그 화면 <이미지: 안랩>]

💡

Editor Pick
- MySQL 서버에 대한 Brute force / Dictionary Attack
- 공격 후, UDF/GhostRAT/XWorm, HpLoader, Zoho ManageEngine 등의 악성코드 설치

MySQL은 대표적인 데이터베이스 서버다. 기업, 사용자 환경에서 대량 데이터 관리 기능을 제공한다. 그런데 최근 외부에 노출되거나, 관리가 소홀한 MySQL 서버를 노린 공격이 지속적으로 포착되고 있다.

공격자는 스캐닝을 통해 3306/TCP 포트가 공개된 MySQL 서버에 무차별 대입 공격이나 사전 공격을 수행한다. 관리자 계정 관리가 미흡한 경우 탈취, 감염 시스템 제어 탈취, 악성코드를 설치할 수 있다. 주로 설치된 악성코드는 UDF, GhostRAT, XWorm, HpLoader, Zoho ManageEngine 이다.

UDF 악성코드
UDF(User Defined Function)는 사용자가 원하는 기능을 DLL에 구현한다. 공격자는 악의적인 명령이 포함된 DLL을 감염 시스템에 업로드 후 MySQL 서버에 로드시킨다. 그러면 공격자는 감염 시스템에 악성 명령을 전달할 수 있게 된다. 감염 시스템에는 악성코드 외에도 악성 UDF DLL이 함께 설치된다. 공격자는 부적절하게 관리되고 있는 MySQL 서버를 공격하는 과정에서 UDF 악성코드를 도구로 사용한다.

Gh0stRAT
MySQL 서버 대상 공격 대부분은 UDF와 Gh0stRAT 변종이다. 특히 Gh0stCringe나 HiddenGh0st 유형이 MySQL 서버 대상 공격에서 함께 확인된다. 최근 공격에 사용된 Gh0stRAT 변종은 내부적으로 UACMe의 특정 명령을 추출, 권한 상승 도구를 포함한다.

XWorm
XWorm은 RAT 악성코드로 파일, 프로세스 작업, 명령 실행과 같은 원격 제어 기능을 지원한다. 이외에도 자격 증명 정보 수집, DDoS 공격, USB를 통한 전파, 암호 화폐 지갑 주소에 대한 클립보드 하이재킹 등 다양한 기능을 지원한다.

HpLoader
이 악성코드는 악성코드 제어 서버인 C2 서버와 최초 통신 시 'hp_socket' 문자열 전송하는 게 특징이다.

Zoho ManageEngine
최근 공격자들은 보안 제품에 의한 탐지를 우회하기 위해 상용 원격 제어 도구를 악용한다. 백도어 악성코드 설치 없이도 원격제어 SW를 통해 감염 시스템을 제어할 수 있다.

대표적으로 Zoho사의 Zoho Assist는 랜섬웨어나 APT 공격자가 감염 시스템 제어 목적으로 악용한다. 이번에는 ManageEndpoint 제품이 악용됐다.

MySQL 서버 통해 설치된 드로퍼는 내부 UEMS(Unified Endpoint Management System) Agent 설치 파일과 설치 스크립트를 포함한다. 공격자는 관리 서버 구축 후 Agent를 감염 시스템에 유포, 설치된 Agent는 공격자 서버에 연결돼 제어될 수 있다.

안랩은 "윈도우 환경에 설치된 MySQL 서버를 대상으로 지속적인 공격이 확인되고 있다"며 "공격자는 감염 시스템 제어를 탈취하기 위해 UDF 악성코드뿐만 아니라 Gh0stRAT, XWorm, HpLoader, Zoho ManageEngine 등 다양한 악성코드들을 설치하고 정상 소프트웨어를 악용하고 있다.

관리자는 반드시 필요한 경우가 아니라면 외부에 MySQL 포트 노출을 제한하고 보안 장비를 활용해 접근 IP를 제한해야 한다. 그리고 계정/비밀번호 정책을 강화하고 MySQL 서버의 권한을 최소화해야 한다. 마지막으로 MySQL 및 OS를 최신 버전으로 패치해 알려진 취약점 공격으로부터 보호해야 한다.