Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향중국과 연계된 Muhstik 봇넷, Oracle WebLogic, Drupal을 목표로
작성일 2020-11-12 조회 63
Mushtik라고도 알려진 Muhstik 봇넷은 수년 동안 클라우드 인프라와 IoT를 목표로 하고 있다.
 
봇넷은 주로 XMRig, cgminer 등 오픈소스 도구를 사용하여 암호화폐를 채굴해 자체 자금을 조달한다.
 
 
Muhstik은 무엇인가?
 
Muhstik은 알려진 웹 애플리케이션 익스플로잇을 활용하여 라우터와 같은 IoT 장치를 손상시켜 암호 화폐를 채굴하는 봇넷이다.
 
Muhstik 봇넷은 적어도 2018년부터 존재했지만, 2019년 12월 Palo Alto Networks는 Tomato 라우터를 공격하고 인수하는 새로운 봇넷 변종을 발견했다.
 
Muhstik이 악용한 일부 취약점에는 Oracle WebLogic Server 버그(CVE-2019-2725 및 CVE-2017-10271) 및 Drupal RCE 결함(CVE-2018-7600)이 포함되었다.
 
현재 클라우드 보안업체 Lacework는 Muhstik와 관련된 분석과 관찰 결과를 추가로 제공했다.
 
Muhstik 공격은 여러 단계로 실행되며, 먼저 공격자의 서버에서 이름이 "pty"인 페이로드 파일 다음에 숫자가 나오는 파일이 다운로드된다. 레이스워크에서 제공하는 URL의 예로는 다음과 같다.
 
- hxxp://159.89.156.190/.y/pty2
- hxxp://167.99.39.134/.x/pty3
 
성공적으로 설치되면 Mushtik이 IRC 채널을 통해 명령을 받는다. 
 
Lacework 연구원인 Chris Hall는 보통 Muhstik에게 XMRrig miner와 스캐닝 모듈을 다운로드하라는 지시가 있을 것이며, 스캐닝 모듈은 다른 리눅스 서버와 홈 라우터를 대상으로 하여 봇넷을 성장시키는데 사용된다고 전했다.
 
Muhstik은 Mirai 소스 코드를 사용하여 단일 바이트 XOR 암호화를 통해 페이로드 및 스캔 모듈의 구성을 암호화한다.
 
Lacework는 Muhstik 구성 데이터를 포함하는 파일 샘플이 "4F 57 4A 51 56 4B 49 0F"의 바이트 시퀀스를 포함하는 경향이 있으며, 해당 값은 언패킹된 바이너리에서 식별할 수 있는 "muhstik" 키워드의 XOR'd(0x22 기준)에 해당하는 값이다.
 
 

이상한 속성과 애니메이션 참조

 

IRC C2 irc.de-zahlung.eu에서 jaygame.net 사이트의 SSL 인증서를 공유하고 있다는 것을 발견했다.
 
Jaygame.net은 'Jay'라는 애니메이션 캐릭터가 관련된 게임에 관한 아마추어 사이트로, 현재 구글 분석 ID UA-120919167-1을 활용하고 있다.
 
이 분석 ID는 fflyy.su과 kei.su의 다른 두 도메인과 연관되어 있는 것으로 밝혀졌다.
 
 
Google analytics ID present on muhstik domain
[그림1. Jaygame.net 도메인에 있는 Google Analytics ID]
 
 
Lacework는 비슷한 상관관계를 추적해 Muhstik의 기원을 중국 포렌식 회사로 추적했다.
 
 
[그림2. Lacework에서 관찰된 Muhstik의 상관 관계]
 
 
또한, Muhstik 공격이 진행되기 전에 멀웨어 샘플이 VirusTotal에 한꺼번에 업로드되었다고 전했다.
 
해당 샘플에는 /home/wys/senzhouwangyun/shell/downloadFile/tomato.deutschland-zahlung.eu_vironr와 같이 "senzhouwangyun"을 언급하는 여러 문자열이 있었다.
 
이는 "Sen Zhou Wang Yun"이 악성코드의 발생자인 것으로 유추할 수 있다.
 
 
 
출처
https://www.bleepingcomputer.com/news/security/chinese-linked-muhstik-botnet-targets-oracle-weblogic-drupal/
첨부파일 첨부파일이 없습니다.
태그 Muhstik   senzhouwangyun