Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Adobe Flash 업데이트 피싱 사이트로 유포되는 Miner
작성일 2018-01-11 조회 1221

 

 

 

 

 

 

유명한 소프트웨어를 가장한 악성코드는 시간이 지나도 꾸준히 사랑받기 마련입니다. 유명하고 권위있으며, 세계적인 회사의 이름을 잠시 빌려 사용하여 사용자들에게 신뢰를 심어주기 위함입니다. 우리는 이러한 소프트웨어 회사들의 업데이트는 묻지도 따지지도 않고 실행을 하게 됩니다.

 

 

[그림] 피싱 사이트 화면

 

 

 

인스톨 선택 시 Adobe 인스톨 소프트웨어로 가장한 악성코드가 다운로드를 할 수 있는 C2로 연결이됩니다.

 

[그림] 악성 URL

 

 

 

접속 시 Location 으로 Github 주소를 받아오게 됩니다. 이런 경우에는 443 통신을 하기 때문에 다운로드 패킷을 확인 할 수 없기 때문에 공격자 입장에서는 굉장히 좋은 다운로드 장소입니다. 물론 깃허브측에 빠른 대응으로 악성 C2가 빨리 서버가 닫힌다는 단점이 있습니다.

 

[그림] Location Github

 

 

 

Fake Adobe Flash Miner

 

파일명: vshub.exe
MD520effba59c9a53f22c51b2d291120407
SHA24509678e49d00b5d0d0b130e9f264d078f7981dace298d2f38bb45ec9fe8567a52
크기: 558,080 byte
행위: Miner

 

 

Malware C2 Flow

 

 - hxxp://ad33a[.]ru/WW12hz?
 - hxxp://5chrup56[.]ru/?W3hmqY&
 - hxxp://adobeflashplayer[.]ki1ahb[.]xyz/blocked[.]php?[string of paramters]
 - hxxp://adobeflashplayer[.]ki1ahb[.]xyz/img/logo[.]png?id=rHaLv
 - hxxp://adobeflashplayer[.]ki1ahb[.]xyz/thunderbird/default[.]mp3?iq=rHaLv
 - hxxp://1sjs21891[.]ru/direct[.]php?sub2=42-99-201801030022450bcc54d62e&f=flashupdate[.]exe
 - hxxps://github[.]com/hoyttgio/Download/raw/master/log/flashupdate[.]exe
 - hxxps://raw[.]githubusercontent[.]com/hoyttgio/Download/master/log/flashupdate[.]exe
 - hxxp://1sjs21891[.]ru/tnk[.]php

 

 

[그림] C2 Flow

 

 

 

대부분의 Miner 악성코드는 기존 채굴의 사용하는 Support Tool 을 사용하는 경우가 많습니다. 굳이 개발하지 않아도 좋은 툴들은 많이 존재합니다. 해당 악성코드 또한 XMRig 툴을 활용한 채굴 프로그램입니다.

 

XMRig Tool 을 사용한다는 것을 숨길 의도였는지는 아니면 Visual Studio 프로그램으로 속일 생각이었는지는 모르겠지만 몇 가지 수정한 부분을 발견하였습니다. 하지만 큰 틀은 XMRig 의 양식을 그대로 사용하였습니다.

 

[그림] 악성코드 rdata(위)와 XMRig rdata(아래) 비교

 

 

 

설치 후에는 작업 스케쥴러에 해당 악성코드를 실행하는 스케쥴을 등록합니다.

시작 시간 (st) , 동작 기간 (du), 동작 텀 (ri) 을 확인할 수 있습니다. 

 

[그림] 작업 스케쥴러 등록

 

 

 

작업 스케줄러 라이브러리 - Windows - ServiceRun 에 등록되어 진행됩니다.

 

[그림] 작업 스케쥴러 등록

 

 

 

XMRig 계통의 마이너는 마이닝 풀과 통신 시 동일한 형식의 패킷 형태를 확인할 수 있습니다.

 

[그림] 마이닝 풀 C2 통신

 

 

 

CPU 또한 매우 많이 활용하여 본연의 임무를 수행하는 Miner 입니다. 

 

[그림] CPU 사용량

 

 

 

신뢰성 있는 소프트웨어의 이름을 통해 악성코드를 유포하는 것은 과거와 현재에도 등장하며, 미래에도 등장할 것입니다.

이러한 사회공학적 공격 기법은 언제나, 누구에게 올 수 있기 때문에 항상 주의가 필요합니다.

 

신뢰하지 못하는 사용자에서 온 이메일은 주의하며, 문서 파일의 매크로 기능이 포함된 파일은 절때 열지 말아야 합니다. 추가적으로 항상 소프트웨어를 최신으로 유지하여 악성코드에 대비할 수 있도록 하는 것이 좋습니다.

 

 

 

[Sniper IPS]

 - [3974] Win32/Miner.Monero.Connection.A

 - [3987] Win32/Miner.Monero.713781

 

[Sniper UTM]

 - [838861360] Win32/Miner.Monero.Connection.A

 - [838861366] Win32/Miner.Monero.713781

 

[Sniper APTX]

 - [3174] Win32/Miner.Monero.Connection.A

 - [3196] Win32/Miner.Monero.713781

 

 

 

[Source]

http://malware-traffic-analysis.net/2018/01/02/index2.html

 
첨부파일 첨부파일이 없습니다.
태그 Adobe Flash  Monero  Miner  Phishing