1. 개요
○ 특정 서버가 악성 URL을 호출한 건이 탐지되어 확인한 결과 최근 급속도로 증가하는 크립토재킹 공격을 위한 실행 프로그램을 다운로드한 것으로 확인되었다. 크립토재킹에 감염된 서버를 대상으로 채굴과 전송을 수행하는 프로세스의 특징 및 조치 방법 등을 분석하였다.
○ 최초 접수: 20xx.04.19 악성 URL을 호출하여 파일을 다운로드하는 것을 확인함
○ 악성코드 동작 추정 시간: 20xx.03 ~ 20xx.04 현재
2. 공격 대상
○ 확인된 마이닝 Pool IP로 통신하는 서버 리스트
1.xxx.xxx.xxx
1.xxx.xxx.xxx
1.xxx.xxx.xxx
210.xxx.xxx.xxx
1.xxx.xxx.xxx
1.xxx.xxx.xxx
175.xxx.xxx.xxx
59.xxx.xxx.xxx
59.xxx.xxx.xxx
3. 공격기법 및 특징
○ hxxp://175.xxx.xxx.xxx/ooo/lsass3.exe 주소를 통해 마이너가 포함된 설치파일을 다운로드함.
서버에 AMMYY_service.log 가 남아있는 것으로 보아 Flawed Ammyy RAT을 사용하여 서버를 제어했을 가능성이 있으나, 확인 가능한 관련 로그가 전무하여 악성 URL을 호출한 방법, 파일을 실행한 방법 등에 대한 행위 분석에 제약이 따름.
lsass3.exe 파일 분석 결과 원래의 파일 이름은 xmrig.exe 이며, 제조사 또한 xmrig으로 확인 되었다.
※ Flawed Ammyy RAT: Ammyy admin 이라는 팀뷰어와 비슷한 상용 원격제어툴이다. 소스코드 유출 사건이 발생한 후 각종 변형 버전이 만들어지고 악의적인 목적으로 사용된 사례가 많이 발견되었다.
※ Xmrig은 CPU 자원을 사용하여 모네로 가상화폐를 채굴하는 오픈소스 프로그램이다.
○ MS-SQL 프로세스로 위장한 마이너 프로그램이 실행되어 채굴을 수행함.
프로세스명은 sqlservr.exe 이며 IAStorSvc.exe 에 종속된 프로세스로 실행됨.
※ IAStorSvc.exe는 Intel社의 Rapid Storage Technology라는 저장장치 관련 드라이버 이며, 최초 OS 설치 시 벤더사 드라이버 패키지에 포함되었을 것으로 예상된다. 해당 파일은 백신 검사 결과 정상으로 확인되었다.
○ Sqlservr.exe는 총 CPU의 약 50%를 사용하여 채굴을 수행하며 프로세스를 종료해도 바로 재 시작되어 채굴을 수행한다.
○ Sqlservr.exe는 정상 파일과 동일한 이름으로 위장한 악성 파일로 나뉘며, 악성 sqlservr.exe와 정상 파일의 차이점은 디지털 서명 유무 및 파일 경로로 확인할 수 있었다.
○ 서로 다른 파일 경로
- 정상 파일 경로: C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
- 악성 파일 경로: C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL.1\Binn\sqlservr.exe
(\MSSQL.1 디렉토리는 윈도우탐색기에서 보이지 않게 숨김 처리가 되어있음)
○ 마이닝을 수행하는 악성 sqlservr.exe는 서버관리자가 CPU 사용률을 확인하고자 작업관리자를 실행하면 즉시 프로세스가 종료되어 자기 존재를 알아차리기 어렵도록 프로그래밍 되어있다. 작업관리자 종료 시 악성 sqlservr.exe는 즉시 실행되어 다시 채굴을 시작한다.
※ 현재 동작하는 프로세스를 확인하려면 Process Explorer같은 3rd party 툴을 활용해야 한다.
○ 국내 및 해외 마이닝 풀로 채굴 정보를 송신할 때 Stratum Mining Protocol을 사용하여 443, 2222, 2333 등의 포트로 통신을 한다.
[Stratum Mining Protocol로 통신하는 패킷 내용]
{"jsonrpc":"2.0","method":"job","params":{"blob":"0b0bb8a5fae505b6fc6a6f7895c24b7e369115453b652cbd30d53af0b9fc13f0591f2f8ebbcfa3000000bd26d0721358038ba2b521c87d3b1d11c2c435d6909400ba10596b622927bc72ab04","job_id":"TpQmPXWRgvMytCGQDNeuT5lLOGlVbd0","target":"b88d0600","algo":"cn/r","height":1819040}}.
{"id":1,"jsonrpc":"2.0","method":"login","params":{"login":"YOUR_WALLET_ADDRESS","pass":"x","agent":"XMRig/2.14.1 (Windows NT 10.0; Win64; x64) libuv/1.23.0 msvc/2017","algo":["cn","cn/r","cn/wow","cn/2","cn/1","cn/0","cn/half","cn/xtl","cn/msr","cn/xao","cn/rto","cn/gpu","cn/rwz","cn/zls","cn/double"]}}.
4. IOC
악성코드 | hash |
Lsass3.exe | 63b215635254d770d367e5dfb43bdf1c |
sqlservr.exe | 994f01d64c2cefcff5f480de1c712946 |
Mining Pool | IP |
58.73.194.180 | |
171.211.100.117 | |
78.46.91.134 | |
176.9.5.68 | |
37.59.45.174 | |
37.187.154.79 | |
114.80.207.207 | |
91.121.2.76 |
'침해사고' 카테고리의 다른 글
PopinBorder(팝인보더) 개인정보 유출 사건 (4) | 2024.09.19 |
---|---|
naz.api 개인정보 데이터베이스 유출 사태 (0) | 2024.07.03 |
[침해사고] Cit0day 데이터베이스 유출 사태 (2) | 2022.09.06 |
[침해사고] xp_cmdshell 취약점을 이용한 랜섬웨어 감염 (0) | 2022.09.06 |
[침해사고] 웹에디터 업로드 취약점을 이용한 침해사고 (0) | 2022.09.06 |
최근댓글