PRB: 빈(NULL) SA 암호를 사용하는 보안되지 않은 SQL Server는 바이러스에 취약하다

이 문서는 이전에 다음 ID로 출판되었음: KR313418

현상

빈 SQL Server 시스템 관리자(SA) 암호를 이용하는 "Voyager Alpha Force"라는 이름의 바이러스가 인터넷에서 발견되었습니다. 이 바이러스는 SQL 기본 포트인 포트 1433을 검색하여 SQL Server를 실행하는 서버를 찾습니다. 바이러스는 서버를 찾으면 빈(NULL) SA 암호를 사용하여 해당 SQL Server의 기본 인스턴스에 로그인하려고 합니다.

로그인이 성공하면 인터넷 릴레이 채트(IRC) 채널의 보호되지 않은 SQL Server 주소를 브로드캐스트한 다음 필리핀에 있는 FTP 사이트에서 실행 파일을 로드하여 실행하려고 합니다. SQL Server에 SA로 로그인하면 사용자에게 해당 컴퓨터에 대한 관리 액세스가 부여되는데, 특정 환경에 따라 다른 컴퓨터에 대한 액세스도 부여될 수 있습니다.

위로 가기 | 피드백 보내기

해결 과정

이 절에 나와 있는 각 단계는 일반적으로 시스템을 더 안전하게 만들고 하나만 단독으로 사용해도 바이러스가 SQL Server 서버를 실행하는 서버를 감염시키지 못하게 합니다. 이들 단계는 SQL Server 설치의 표준 보안과 관련된 "유용한 정보"의 일부입니다.

사용 중인 인증 모드가 혼합 모드(Windows 인증과 SQL Server 인증)일 때는 SA 로그인 계정을 비 NULL 암호로 보호합니다. 바이러스는 SA 로그인 계정이 보안되어 있지 않을 때만 활동합니다. 따라서 SA 계정을 직접 사용하지 않을 때도 SQL Server 온라인 설명서의 "시스템 관리자(SA) 로그인" 항목에 나와 있는 권장 사항에 따라 기본 제공 SA 계정에 강력한 암호가 있는지 확인해야 합니다. 보안 향상을 위해서는 Windows 인증 모드(Windows 인증 모드만)를 사용 가능하게 설정합니다. 그러면 모든 사용자가 SA 사용자로 로그인할 수 없게 됩니다. Windows 인증을 사용하도록 클라이언트를 구성합니다.
로그인의 성공과 실패를 감사할 수 있게 설정한 다음 MSSQLServer 서비스를 중지한 후 다시 시작합니다.
인터넷 게이트웨이의 포트 1433을 차단하고 대체 포트에서 수신 대기하도록 SQL Server를 지정합니다.
포트 1433을 인터넷 게이트웨이에서 사용해야 하는 경우 진출/진입 필터링을 사용하여 포트의 오용을 방지합니다.참고 진출/진입 필터링 설정에 대한 정보가 필요하면 네트워크 관리자 또는 방화벽 공급업체에 문의하십시오.
로컬 관리 계정이 아니라 일반 Microsoft Windows NT 계정에서 SQLServer 서비스와 SQL Server 에이전트를 실행합니다.

이미 손상된 시스템을 복구하는 방법에 대한 자세한 내용을 보려면 다음 웹 사이트의 독립 CERT Coordination Center를 방문하십시오.

UNIX 또는 NT 시스템 손상으로부터 복구하는 단계
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

(http://www.cert.org/tech_tips/win-UNIX-system_compromise.html)

침입자 검색 검사 목록
http://www.cert.org/tech_tips/intruder_detection_checklist.html

(http://www.cert.org/tech_tips/intruder_detection_checklist.html)

이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.

위로 가기 | 피드백 보내기

추가 정보

중요: SQL Server에는 이러한 침입을 허용하는 버그가 없으며, 이것은 보안되지 않은 시스템에서 발생하는 문제일 뿐입니다.

다음과 같은 파일이 있으면 바이러스가 있음을 나타냅니다.

rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )

또한 다음과 같은 레지스트리 키가 있을 때도 이 바이러스가 있음을 의미합니다.

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg

다음과 같은 레지스트리 키는 SQL Server에 존재하는 키이지만 바이러스가 TCP/IP 네트워크 라이브러리를 사용하여 컴퓨터에 대한 액세스를 제어하는 데 이용됩니다.

SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY

바이러스는 xp_cmdshell 확장 저장 프로시저를 이용하는데 이를 통해 SQL Server 서비스를 실행하는 계정에서 사용할 수 있는 운영 체제 명령이 실행될 수 있습니다.

SQL Server 서버 보안 방법에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/korea/technet/prodtechnol/sql/maintain/security/sp3sec/Default.asp

(http://www.microsoft.com/korea/technet/prodtechnol/sql/maintain/security/sp3sec/Default.asp)

http://www.microsoft.com/korea/sql/techinfo/administration/2000/security/default.asp

(http://www.microsoft.com/korea/sql/techinfo/administration/2000/security/default.asp)

Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹
(http://support.microsoft.com/newsgroups/default.aspx)
에 참여하시기 바랍니다.

위로 가기 | 피드백 보내기