Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
취약점 정보Mikrotik 라우터 취약점에 Coinhive 스크립트를 더하다
작성일 2018-08-06 조회 2474

 

 

 

 

 

 

공격자들이 감염 단말에 가상화폐를 채굴하려는 방법은 무궁무진합니다. 

 

그 중에서 Coinhive는 공격자들에게 매우 좋은 메리트를 제공하고 있지 않나 생각이 듭니다. 내부에 심어져 실행되어 수 많은 흔적들을 남기는 다른 채굴 프로그램들과는 다르게 웹상에 단 몇 줄의 스크립트 삽입으로도 채굴이 가능하는 점이 아마 공격자들이 애용하는 이유라고 생각합니다.

 

예전부터 Coinhive에 대한 이슈에는 취약점을 통한 공격이 선행된 경우가 많습니다. 그 이유는 Coinhive가 활동하는 곳은 웹 상인 경우가 많았으며, 그 외에도 라우터, IoT 등을 타겟으로 하는 공격도 존재합니다. 그렇기 때문에 사회공학적 방법이 아닌 기술적으로 침투해야 하기 때문에 많은 0-Day 공격이 사용되고 있습니다.

 

 

최근 발견된 Coinhive 이슈는 Mikrotik 라우터 취약점을 사용하여 내부로 침투하며, 그 이후 페이지에 Coinhive 스크립트를 삽입하여 채굴을 진행하고 있습니다. 

 

 

 

 

 

PoC가 성공적으로 실행되면 내부 계정을 획득할 수 있으며, 공격자는 내부 구성을 변환할 수 있습니다.

 

 

상기 취약점에 대한 영상 PoC은 아래 링크에서 확인할 수 있습니다.

https://www.youtube.com/watch?v=ELcDNWRGKa8

 

 

 

 

정상적인 Exploit 공격이 완료되면 공격자는 공격이 성공한 사이트에 Coinhive JavaScript를 삽입하게 됩니다.

 

일반적인 코인하이브 코드는 Response Code '200' 정상 페이지에 삽입이 되었다면, 이번 공격자는 정상 페이지를 제외한 코드에 삽입하였습니다. 일반 사용자들이 정상 페이지를 사용할 때 채굴을 하지 않도록 하여 의심을 줄이는 의도였을 가능성이 존재합니다.

 

 

 

 

해당 사이트 방문한 단말은 자연스럽게 Coinhive에 접속 후 채굴을 시작합니다. (Port 443)

 

 

 

Coinhive 특징은 악성코드처럼 실행할 필요도, 단말 내 감염시킬 필요 없이 웹 페이지를 읽는 것만으로도 채굴이 진행된다는 것입니다. 사용자의 부주의가 아닌 단순히 웹 사이트에 접속해 있는 시간동안 공격자에게 득이되는 행동 을 한다고 생각하니, 기분이 썩 좋지는 않습니다.

 

차단 방벙은 매우 다양합니다. 크롬 기준 '설정 - 콘텐츠 설정 - 자바 스크립트 차단' 으로 채굴 행위를 차단할 수 있습니다 . 하지만 정상적인 자바스크립트 또한 차단이 되니, 확장프로그램에 Miner Block관련 프로그램을 사용하면 더 쉽게 차단할 수 있습니다. 

 

 

 

 

[Sniper 제품군 탐지]

 

 - Script/JS.Miner.Coinhive

 - Script/JS.Miner.Coinhive.A
 - Script/JS.Miner.Coinhive.B

 - MikroTik RouterOS Chimay Red Stack Clash RCE
 - MikroTik RouterOS Chimay Red Stack Clash RCE.A
 - MikroTik RouterOS Chimay Red Stack Clash RCE.B
 - MikroTik RouterOS Chimay Red Stack Clash RCE.C

 

 

 

 

source

https://www.hybrid-analysis.com/sample/1900f64e0b96d4411d84611c1dbc782187e4b3978d51a028c77f610992fe9c08?environmentId=100

https://www.bleepingcomputer.com/news/security/massive-coinhive-cryptojacking-campaign-touches-over-200-000-mikrotik-routers/

https://github.com/mrmtwoj/0day-mikrotik

첨부파일 첨부파일이 없습니다.
태그 Mikrotik  Coinhive  미크로틱  코인하이브