Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보댜앙한 취약점 공격을 탑재한 봇넷으로 유포되는 Miner
작성일 2018-09-28 조회 731

 

 

 

WSEC에서는 연휴 전부터 활발하게 공격이 들어오는 봇넷을 확인했습니다. 일반적으로 특정 취약점 0-Day 취약점을 사용하여 스캔이나 악성코드를 유포하는 일반 봇넷과는 다양한 웹 취약점을 노린 공격을 지속적으로 수행하고 있습니다.

 

모니터링에서 탐지된 취약점 중 가장 많은 패킷 순으로 나열하였습니다.

 

아무리 다양한 취약점을 이용한 공격이라 하더라도 동일한 봇넷으로 공격이 들어오기 때문에 명령어 구조가 비슷하거나 악성 C2의 주소는 동일하다는 특징을 가지고 있습니다.

 

 

 

 

1. SonicWall XMLRPC SetTimeZone RCE

 

SonicWall 제품에서 TimeZone 인자값에 시간 값이 아닌 명령어가 삽입될 경우 인자의 검증 단계를 거치지 않아 발생하는 원격코드실행 취약점입니다.

 

 

 

 

2. Vacron NVR board.cgi RCE

 

Vacron NVR 제품에서 board.cgi 인자값의 인증과 검토가 이루어지지 않아 원격코드실행이 가능한 취약점입니다.

 

 

 

 

3. NUUO NVRmini 2 handle_iscsi.php RCE

 

NUUO NVRmini 제품에서 발견된 취약점으로 handle_iscsi.php에서 인자값을 제대로 검증하지 않아 명령어 삽입 시 원격코드실행이 가능한 취약점입니다.

 

 

 

 

4. NETGEAR DGN setup.cgi RCE.A

 

NETGEAR DGN 제품에서 발견된 취약점으로 setup.cgi에서 인자값의 검증이 이루어지지 않아 명령어 삽입 시 원격코드실행이 가능한 취약점입니다.

 

 

 

다양한 취약점이 사용되고 있지만 취약점을 통해 궁극적으로 얻고 싶은 목적은 보시는바와 같이 각 취약점별로 공통적으로 가지고 있는 hxxp://185[.]10[.]68[.]163/worldwest.sh 에서 쉘코드를 다운로드하여 실행하는 목적을 가지고 있습니다.

 

그렇다면 과연 어떤 악성코드를 다운로드 및 실행하고 있을까요?

 

 

 

[Downloader] worldwest.sh

 

행위: 1차 악성코드 다운로더
파일 크기: 200 bytes
SHA256: c1108e6b20820df362c4325163a61e18e8381e13bd4dd6cc0fc23f84d1f12a2b
C2 
 - hxxp://185[.]10[.]68[.]163/miner.sh
 - hxxp://185[.]10[.]68[.]163/scanner.sh
 

 

 

다운로드 및 실행되는 쉘코드는 두 개의 파일을 다운로드 및 실행하는 역할을 하는 단순한 다운로더입니다.

 

 

 

 

[Downloader] miner.sh

 

행위: 2차 악성코드 다운로더
파일 크기: 1,117 bytes
SHA2565cc7939eb2380edaffcb4b9969a7918c90bc27ab34b4e56fd2ec9264b6313eea
C2 
 - https://github[.]com/cnrig/cnrig/releases/download/v0.1.5-release/cnrig-0.1.5-linux-x86_64
 - https://github[.]com/cnrig/cnrig/releases/download/v0.1.5-release/cnrig-0.1.5-linux-x86_64

 

 

miner.sh 은 이름에서도 알 수 있듯 채굴행위 관련한 다운로더입니다. 

기존에 작동하고 있던 Miner를 엄추고 새롭게 Miner Support Tool 을 다운로드 받아 실행하며, 총 다른 종류의 툴로 두 번 진행하게 됩니다. 

 

 

추가적으로 코드실행 주기, 프로세스 등록, 권한 설정 등을 통해 지속적인 채굴 행위가 이루어지도록 작업을 실행합니다.

 

 

 

 

[Downloader] scanner.sh

 

행위: 2차 악성코드 다운로더
파일 크기: 585 bytes
SHA256: 7118b0040dc9b133070f448184dbdb1b975fe9c48fc8fd124291888060eff612
C2 
 - hxxp://185[.]10[.]68[.]163/zmap
 - hxxp://185[.]10[.]68[.]163/bruteforce_ssh
 
 
scanner.sh 은 네트워크 스캔 및 Bruteforce 공격을 하기 위한 다운로더입니다. Miner와는 별개로 진행이 되며 쉘코드가 정상적으로 작동하면 다양한 네트워크에 스캐닝과 Bruteforce 공격을 진행할 수 있습니다.
 
 
 
 
 
 
 
 
봇넷은 꾸준한 0-day 취약점을 활용하여 폭넓게 공격을 진행하고 있으며, 최초 감염된 단말은 추가적인 스캐닝과 추가적인 유포지로 자리잡기 때문에 악성코드의 확산을 막을 수 없습니다.
 
그렇기 때문에 사용하시는 소프트웨어는 지속적인 업데이트를 통해 0-day 공격에 대비하여햐 할 것 같습니다.
 
 
 
Sniper IPS Pattern
 - [4157] Win32/Miner.Monero.Connection.P

 - [4160] Win32/Miner.Monero.Connection.Q

 - [4464] SonicWall XMLRPC SetTimeZone RCE
 - [4465] SonicWall XMLRPC SetTimeZone RCE.A
 - [4466] Vacron NVR board.cgi RCE.B
 - [4467] NUUO NVRmini 2 handle_iscsi.php RCE
 - [6015] NETGEAR DGN setup.cgi RCE.A
 - [4470] NUUO NVRMini cgi_system RCE
 - [4471] NUUO NVRMini cgi_system RCE.A

 
 
Shell Script

 - c1108e6b20820df362c4325163a61e18e8381e13bd4dd6cc0fc23f84d1f12a2b  worldwest.sh

 - 047b8d7cf1641a0d7f6ce2c844a22b6b08317a8ff086620978f2bd40817475d8  miner.sh

 - 2f89f8f0a5f3e7fde7551fb283ae8cc4ab198ca352a53dd3b8a1f5250bd05182  scanner.sh

 

Linux File

 - abbce2b9bd7ed54ed0183f4d619e0181fe56949594a0ca5cd3cdfbf94d8f66b4  zmap

 - c91fa48a979f8be95bbd2931e6c6b3425b7fba7ea6b87b05a8fbe856482b398f bruteforce_ssh

 - c890d18fe3753a9ea4d026fc713247a9b83070b6fe40539779327501916be031  xrig_386

 - b8687ab465c280847193d36a67c390616933032db31932d8ac191041343b68f6  xrig_arm

 

C2

 - 185[.]232[.]64[.]161

 - 185[.]232[.]64[.]163

 

 

첨부파일 첨부파일이 없습니다.
태그 Sonicwall  Vacron  NUUO  NETGEAR