크립토재킹

1. 개요


○ 특정 서버가 악성 URL을 호출한 건이 탐지되어 확인한 결과 최근 급속도로 증가하는 크립토재킹 공격을 위한 실행 프로그램을 다운로드한 것으로 확인되었다. 크립토재킹에 감염된 서버를 대상으로 채굴과 전송을 수행하는 프로세스의 특징 및 조치 방법 등을 분석하였다.
○ 최초 접수: 20xx.04.19 악성 URL을 호출하여 파일을 다운로드하는 것을 확인함
○ 악성코드 동작 추정 시간: 20xx.03 ~ 20xx.04 현재

 

 

2. 공격 대상


○ 확인된 마이닝 Pool IP로 통신하는 서버 리스트
1.xxx.xxx.xxx
1.xxx.xxx.xxx
1.xxx.xxx.xxx
210.xxx.xxx.xxx
1.xxx.xxx.xxx
1.xxx.xxx.xxx
175.xxx.xxx.xxx
59.xxx.xxx.xxx
59.xxx.xxx.xxx

 

 

3. 공격기법 및 특징


○ hxxp://175.xxx.xxx.xxx/ooo/lsass3.exe 주소를 통해 마이너가 포함된 설치파일을 다운로드함. 

서버에 AMMYY_service.log 가 남아있는 것으로 보아 Flawed Ammyy RAT을 사용하여 서버를 제어했을 가능성이 있으나, 확인 가능한 관련 로그가 전무하여 악성 URL을 호출한 방법, 파일을 실행한 방법 등에 대한 행위 분석에 제약이 따름. 

lsass3.exe 파일 분석 결과 원래의 파일 이름은 xmrig.exe 이며, 제조사 또한 xmrig으로 확인 되었다. 


※ Flawed Ammyy RAT: Ammyy admin 이라는 팀뷰어와 비슷한 상용 원격제어툴이다. 소스코드 유출 사건이 발생한 후 각종 변형 버전이 만들어지고 악의적인 목적으로 사용된 사례가 많이 발견되었다.


※ Xmrig은 CPU 자원을 사용하여 모네로 가상화폐를 채굴하는 오픈소스 프로그램이다.

 

 


○ MS-SQL 프로세스로 위장한 마이너 프로그램이 실행되어 채굴을 수행함.
프로세스명은 sqlservr.exe 이며 IAStorSvc.exe 에 종속된 프로세스로 실행됨.


※ IAStorSvc.exe는 Intel社의 Rapid Storage Technology라는 저장장치 관련 드라이버 이며, 최초 OS 설치 시 벤더사 드라이버 패키지에 포함되었을 것으로 예상된다. 해당 파일은 백신 검사 결과 정상으로 확인되었다.

 

sqlserver로 위장한 악성 프로세스

○ Sqlservr.exe는 총 CPU의 약 50%를 사용하여 채굴을 수행하며 프로세스를 종료해도 바로 재 시작되어 채굴을 수행한다.

악성 프로세스 리소스 사용량

 

○ Sqlservr.exe는 정상 파일과 동일한 이름으로 위장한 악성 파일로 나뉘며, 악성 sqlservr.exe와 정상 파일의 차이점은 디지털 서명 유무 및 파일 경로로 확인할 수 있었다.

 

정상 sqlserver.exe 정보

 

sqlserver.exe로 위장한 악성파일 (디지털서명이 없음)

○ 서로 다른 파일 경로
- 정상 파일 경로: C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe

- 악성 파일 경로: C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL.1\Binn\sqlservr.exe 
(\MSSQL.1 디렉토리는 윈도우탐색기에서 보이지 않게 숨김 처리가 되어있음)

○ 마이닝을 수행하는 악성 sqlservr.exe는 서버관리자가 CPU 사용률을 확인하고자 작업관리자를 실행하면 즉시 프로세스가 종료되어 자기 존재를 알아차리기 어렵도록 프로그래밍 되어있다. 작업관리자 종료 시 악성 sqlservr.exe는 즉시 실행되어 다시 채굴을 시작한다.
※ 현재 동작하는 프로세스를 확인하려면 Process Explorer같은 3rd party 툴을 활용해야 한다.

○ 국내 및 해외 마이닝 풀로 채굴 정보를 송신할 때 Stratum Mining Protocol을 사용하여 443, 2222, 2333 등의 포트로 통신을 한다.

 

마이닝 Pool로 통신

[Stratum Mining Protocol로 통신하는 패킷 내용]

{"jsonrpc":"2.0","method":"job","params":{"blob":"0b0bb8a5fae505b6fc6a6f7895c24b7e369115453b652cbd30d53af0b9fc13f0591f2f8ebbcfa3000000bd26d0721358038ba2b521c87d3b1d11c2c435d6909400ba10596b622927bc72ab04","job_id":"TpQmPXWRgvMytCGQDNeuT5lLOGlVbd0","target":"b88d0600","algo":"cn/r","height":1819040}}.

{"id":1,"jsonrpc":"2.0","method":"login","params":{"login":"YOUR_WALLET_ADDRESS","pass":"x","agent":"XMRig/2.14.1 (Windows NT 10.0; Win64; x64) libuv/1.23.0 msvc/2017","algo":["cn","cn/r","cn/wow","cn/2","cn/1","cn/0","cn/half","cn/xtl","cn/msr","cn/xao","cn/rto","cn/gpu","cn/rwz","cn/zls","cn/double"]}}.

 

4. IOC

악성코드 hash
Lsass3.exe 63b215635254d770d367e5dfb43bdf1c
sqlservr.exe 994f01d64c2cefcff5f480de1c712946
Mining Pool IP
58.73.194.180
171.211.100.117
78.46.91.134
176.9.5.68
37.59.45.174
37.187.154.79
114.80.207.207
91.121.2.76

 

반응형
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기