Wins Security Information

보안 동향

앞 내용 보기 다음 내용 보기
보안 동향비트코인 블록체인을 악용한 Botnet 출현
작성일 2021-02-25 조회 91

최근 불법 암호화폐 채굴 활동에 사용되는 Botnet이 비트코인 거래를 악용하고 있다. 22일 Akamai가 공개한 새로운 리포트에 따르면 해당 기술은 BTC 블록체인 트랜잭션을 이용해 공격자의 명령-제어(C2) 서버 주소를 숨길 수 있고 이미 Botnet 운영자들에 의해 활용되고 있다고 전했다.

 

Botnet은 C2서버로 부터 명령을 수신받아 동작하는데 보안팀 및 사법기관들은 이런 서버들을 지속적으로 발견해 제거하고 있다. 하지만 이번에 발견된 BTC 트랜젝션 악용으로 인해 C2서버의 소재지를 찾기가 더 힘들어졌다.

 

이들의 공격 체인은 Hadoop Warn 및 Elastic Search와 같은 소프트웨어의 RCE 취약점을 이용해 침투를 시작한다. RCE는 완전한 시스템을 장악하기 보다는 암호화폐 채굴을 위한 Redis 서버를 찾는용도로 사용했다. 시스템이  취약하면 RCE를 위한 Shell 스크립트가 배포되고 Skidmap Malware를  실행한다. Shell 스크립트는 기존 마이너 악성코드를 제거 하거나 SSH키 수정, 보안기능을 바꿀 수 있다.

 

Akamai는 12월에 BTC 지갑주소가 포함된 변형 Botnet 을 처음 발견했고 내부 코드에 지갑 확인을 위햔 API 및 One-liner에 대한 ULR이 추가됐다. API를 실행하면 특정 값이 반환되고 공격자의 C2서버 IP를 계산할 때 사용된다. 만약 지갑에 소량의 BTC를 넣어주기만 하면 공격자의 C2주소가 바뀌게되는 방식이다.

 


[그림1. C2 IP 생성 스크립트]

 


[그림2. BTC 지갑 주소 및 C2 생성 스크립트 예제]

 

 

 

Akamai에 따르면 이들은 현재 모네로(XMR)코인 약 3만 달러 이상을 채굴한 것으로 추측하고 있다. 또한 해당 기술은 아직 불완전하지만 지속적인 개선만 된다면 공격자들 사이에서 인기있는 기법이 될 것이라고 경고했다.

 

출처

 

https://www.zdnet.com/article/this-botnet-is-abusing-bitcoin-blockchains-to-stay-in-the-shadows/

 

https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html

첨부파일 첨부파일이 없습니다.
태그 Botnet  Bitcoin