Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보악성코드의 잘못된 만남 Butterfly Miner + Ransomware
작성일 2018-04-02 조회 1042

 

 

 

 

 

 

최근 서버를 타켓으로 유포되는 Miner와 Ransowmare 행위를 동시에 하는 악성코드가 확인되었습니다. 물론 두 악성코드의 콜라보는 이전부터 존재하던 악성코드였지만, 북한을 암시하는 단어는 국내 보안회사의 이목을 끌기 충분해다고 생각합니다.

 

 

만약 인공지능이 국내 보안사의 관심을 끌 수 있는 악성코드 기사를 작성한다면, 아래와 같은 제목이 나올 것 같습니다. 

 

[긴급] Miner와 Ransomware 두 가지 기능을 하는 악성코드, '김정은' 문자열 발견. 북한 소행 가능성 ↑

 

 

보안담당자라면 누구라도 손이 갈 것 같습니다. 그런 의미에서 'Butterfly'는 충분히 흥미로운 악성코드입니다. 

 

Miner, Ransomware, 김정은, 북한 소행 등 국내에서 이쁨(?) 받는 컨텐츠가 모두 들어가 있으니까요. 우리가 무엇을 좋아할 지 몰라 공격자는 모든 것을 다 담아주었습니다.

 

 

 

 

" 뭘 좋아하는지 모르니 다 담아보자 "

 

 

 

 

 

[Main] ShellCode - Reinstall.sh

 

이름: reinstall.sh
행위: 다운로더, Miner, Ransomware
크기: 3,283 bytes
SHA256: 38c1b0e8ec4c4878e83b11abe75e5badb160ae5576986e9cb5037a81bfd9c82f
C2 
 - hxxp://saltstack[.]cloud:443/killer.sh
 -
 hxxp://saltstack[.]cloud:443/minerd
 -
 hxxp://saltstack[.]cloud:443/deamon.sh
 - hxxp://saltstack[.]cloud:443/butterfly.sh
 - hxxp://get[.]bi-chi[.]com:3333 

 

 

reinstall.sh 은 Miner 및 Ransomware에 필요한 파일을 다운로드하며 각 파일이 실행되기 위해 필요한 모든 설정을 담당하는 파일입니다.

 

 

[그림] reinstall.sh

 

 

 

악성코드 동작 시 방해되는 프로세스를 종료시키고 방화벽 설정으로 URL 및 Port의 정책을 설정합니다. 또한, CentOS 버전별 실행코드를 달리하여 상이한 서버에서든 동작 가능하게 설계되었습니다. 

 

 

[그림] reinstall.sh iptables 설정 추가

 

 

 

 

 

[Sub] ShellCode - Reinstall.sh

 

이름: killer.sh
행위: 동작 프로세스 확인
크기: 255 bytes
SHA256: 7781dea3612d52585c0e9ff28a38629cf9b8b833e2b800d2388760fc10d2ee5c

 

 

reinstall.sh에서 제일 처음 다운로드 되는 파일입니다.

 

굳이. 번거롭게. 이 짧은 코드를. 따로. 분할해서 사용하는 이유는 알 수 없습니다. 그들의 취향을 존중할 뿐입니다. 해당 쉘코드는 현재 시스템 내에서 돌고있는 특정 프로그램을 확인하여 정지시킵니다. 

 

 

 

[그림] killer.sh

 

 

 

 

[Sub] ELF - minerd

 

이름: minerd
행위: Miner
크기:  1,956,484 bytes
SHA256: 771c0cec3548a7eb553a555ea19f749d2bf362a9dc3307698006dd8a9aabbd65

 

 

reinstall.sh에서 두 번째 다운로드 되는 파일입니다.

 

실제 Miner 행위를 하는 파일이며 'Cpuminer' 를 사용하여 채굴 행위를 진행합니다.

 

 

 

[그림] Minerd(CPU miner) Option

 

 

 

 

[Sub] ShellCode - deamon.sh

 

이름: deamon.sh
행위: Miner Information
크기: 468 bytes
SHA256: a6e46e4b4def44de931c1945518b8cb3d9c44170d9ee0f45e712b7a51c985475

 

 

reinstall.sh에서 세 번째 다운로드 되는 파일입니다.

 

이전 다운로도 된 CPUminer 동작 시 필요한 마이닝풀 URL, 채굴 ID 등을 포함하고 있습니다. 이 또한, 왜 이렇게 따로 다운로드 하여 적용하는 지 알 수 없습니다. 

 

 

 

[그림] deamon.sh

 

 

 

 

정상적인 실행이 되면 서버에서는 본연의 임무보다는 Miner에 더욱 힘 쏟는 서버가 됩니다.

 

[그림] Miner 채굴 통신

 

 

 

 

 

 

[Sub] ShellCode - butterfly.sh

 

이름: butterfly.sh
행위: Ransomware
크기: 2,710 bytes
SHA256: d0772331997e52d6cbd0dd356632d240331b943be93cdf8ece2babc4764749a2

 

 

 

reinstall.sh에서 마지막으로 다운로드 되는 파일입니다.

 

암호화 방식은 확장자나 단어가 포함된 파일들을 새로운 폴더에 저장하고 압축합니다. openssl을 통해 외부로 파일을 전송 후 파일들을 삭제하는 프로세스지만 실제 외부로 파일을 전송하지 않고 삭제만 진행합니다. 실제 코드에는 openssl 코드는 주석처리가 되어있기 때문에 랜섬웨어가 아닌 Wiper라고 봐야 할 것 같습니다.

 

해당 쉘 코드에는 랜섬노트, 암호화 확장자 그리고 북한의 유명인사 이름이 새겨져 있습니다.

 

 

 

[그림] butterfly.sh

 

 

[그림] butterfly 랜섬노트

 

 


 

 

랜섬웨어나 Wiper 처럼 파일의 암호화 / 삭제하는 악성코드의 대처 방법은 자료의 주기적인 백업입니다. 백업본은 망분리 혹은 비 네트워크 상태로 보호하는 것이 현명하며, 사용하시는 백신을 최신상태로 유지하여 최신 악성코드에 대한 대처를 할 수 있기를 바랍니다.

 

 

 

 

[Sniper IPS]

 - [4219] Win32/Miner.CPUminer.Generic

 - [4157] Win32/Miner.Monero.Connection.P

 

[Sniper APTX]

 - [3366] Win32/Miner.CPUminer.Generic

 - [3398] Win32/Miner.Monero.Connection.P

 

[Sniper UTM]

 - [838861416] Win32/Miner.CPUminer.Generic

 - [838861434] Win32/Miner.Monero.Connection.P

 

 

 
 
[Source]
https://ko-kr.facebook.com/zerocert/

 

첨부파일 첨부파일이 없습니다.
태그 Miner  Ransomware  ELF