Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Facebook 메시지로 유포되는 Miner 악성코드
작성일 2017-12-18 조회 1567

 

 

 

 

 

악성코드가 유포되는 방법에는 무수히 많은 방법이 존재합니다. 그래도 당연 사회공학적 유포 방법이 많은 이슈가 되기 때문에 우리가 자주 접할 수 있는 것이 아닌가 생긱이 듭니다. 

 

우리를 속이기 위해 다양한 방법을 사용하지만, 제일 기가 막힌 방법은 그럴듯하게 신분을 속이는 것이겠죠. 온라인 상이라 나를 감추는 방법 또는 누구인 척 행동하는 것은 쉽기 마련입니다.

 

 

친구인 척 혹은 직장 상사인 척 혹은 회사 관계자인 척 혹은 택배 온 척

공격자는 다양한 방법으로 우리들을 항상 속이려고 할 것입니다.

 

 

 

한 커뮤니티에 페이스북 친구인 척 하여 Miner 악성코드를 유포한다고 이슈가 되었습니다. 친구인 척 영상을 보내는 것입니다. 그럼 자연스레 우리는 그 영상을 다운로드 및 실행 할 것이며, 악성코드가 자연스럽게 설치가 되는 것입니다.

 

 

[그림] 친구인 척 전송하는 파일 (출처: www.kimhumor.com)

 

 

 

취약점을 통한 공격으로 파일을 전파한 것도 아닌 그냥 취약한 우리를 통해 전파하는 것입니다.

다만 매체가 페이스 북이라는 것 뿐.

 

 

현재 다양한 이름의 Zip 파일이 발견되었습니다. 하지만 이름만 다른 Zip 파일이며 내부에 존재하는 다운로드는 동일한 기능을 가지고 있습니다.

 

[그림] 다양한 이름의 Zip 파일

 

 

 

친구가 보낸 파일의 압축을 풀면 mp4 확장자를 가진 영상 파일을 확인할 수 있습니다. 

 

[그림] 압축파일 해제

 

 

 

상기 그림파일을 보면 확장자는 'mp4' 지만 유형은 '응용 프로그램'인 것을 확인할 수 있습니다.

 

[그림] mp4로 둔갑한 응용프로그램

 

 

 

 

이런 방식은 우리들을 속이기 위해 자주 사용하는 방식입니다. 

폴더 옵션에서 '알려진 파일 형식의 파일 확장명 숨기기'를 해제하면 원래의 파일 이름을 확인할 수 있습니다.

 

 

[그림] 확장명 숨기기 해제

 

 

[그림] 확장명 숨기기 해제 후 파일명

 

 

 

 

 

[Miner Downloader] 

파일명: video_[4 Random Digits].zip
MD5: 31edd6cefca489b7f6e756c8d4379f24
SHA245: 13a7766368bfa410f2ca2225bc92ad47eeab8bc4d6f60f4bf12717b53bcfe2bc
크기: 476,048 byte

 

파일명: Video.[8 Random Digits].mp4.exe
MD5: d0857aba2c626d554c6982d2d2d4db8a
SHA245: beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d
크기: 973,824 byte
C2: hxxp://byclixe[.]ozivu[.]bid/api/apple/config.php
행위: Downloader

 

 

 

 

영상 파일인줄 알고 실행한 exe Downloader는 겉으로는 아무 현상이 발생하지 않은 것 처럼 보이지만 뒤에서는 굉장히 바삐 움직이고 있습니다.

 

파일 내부에서 최초 C2 도메인을 확인할 수 있습니다.

 

[그림] C2 Domain

 

 

최초 C2 접속부터 시작하여 총 14개의 C2에 접속하여 Miner에 필요한 파일을 다운로드 합니다. 

 

 

[그림] 최초 접속 C2

 

 

[그림] Miner 파일 다운로드

 

 

 

[Malware Payload] Miner 

파일명: codec.exe
MD5: 8f7ac245965e43d521bf6870ef3ff924
SHA245: f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909
크기: 937,472 byte
행위: Miner

 

파일명: updater.exe
MD5: d0857aba2c626d554c6982d2d2d4db8a
SHA245: beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d
크기: 973,824 byte
행위: Miner
 
파일명: miner.exe
MD5: 689bfb153aa41cf8e327ee0cb5f974aa
SHA245: 0972ea3a41655968f063c91a6dbd31788b20e64ff272b27961d12c681e40b2d2
크기: 1,019,392 byte
행위: Miner
 
 
 
 
 
모든 파일 다운로드가 완료되면 아래의 그림파일 경로에 다운로드 파일을 저장 및 실행합니다.
 
[그림] Miner 프로그램 파일
 
 
 
 

지금 유포되는 Miner는 채굴하는 방식에는 여러가지가 존재합니다. 그 중에서 공격자가 무엇을 선택했느냐는 공격자 취향에 따라 나뉘게 됩니다. 'Miner.exe' 파일 값을 살펴보면  'xmrig' 의 프로그램을 참조해서 개발되었다는 것을 확인할 수 있습니다.

 

xmrig는 CPU를 사용하여 모네로를 채굴하는 CPU Miner입니다. 채굴하는 것 자체는 나쁜 방법이 아니기 때문에 다양한 채굴 툴들이 Github에 올라와 있으며, 그것을 활용하여 악성 채굴 프로그램으로 유포하는 것입니다.

 

 

[그림] Miner.exe 의 xmrig 기능

 

 

채굴한 정보는 Minergate.com 으로 보내며, 특이사항으로는 45560 Port로 통신합니다.

 

 

[그림] Miner.exe 의 채굴 패킷

 

 

 

 

2017년 전반기에는 랜섬웨어 유포가 이슈가 되었습니다. 허나 지금은 악성코드 최신 트렌드에 맞춰 채굴 프로그램으로 바뀌고 있는 시기입니다. 

 

물론 악성코드 감염이 나쁘지만 감염 되었을 때 랜섬웨어보다는 Miner 가 그래도 과거의 실수를 되돌릴 수 있는 기회가 생겨 그나마 다행이라고 생각합니다.

 

사회공학적 공격 기법은 언제나, 누구에게 올 수 있기 때문에 항상 주의가 필요합니다.

 

신뢰하지 못하는 사용자에서 온 이메일은 주의하며, 문서 파일의 매크로 기능이 포함된 파일은 절때 열지 말아야 합니다. 추가적으로 항상 소프트웨어를 최신으로 유지하여 악성코드에 대비할 수 있도록 하는 것이 좋습니다.

 

 

 

[Sniper APTX 탐지]

 

[그림] APTX 탐지

 

 

 

 

Source

[그림] http://www.kimhumor.com/?p=11667

첨부파일 첨부파일이 없습니다.
태그 Facebook  Miner  Monero