|
Windows, Linux 서버를 Monero Miner로 바꾸는 새로운 웜 침해사고분석팀 2020.12.31 |
|
|
새로 발견되고 자체 확산되는 Golang 기반 맬웨어는 12월 초부터 윈도우와 리눅스 서버의 XMRig 암호 화폐 마이너들을 적극적으로 제거하고 있다.
이 멀티 플랫폼 맬웨어에는 Intezer 보안 연구원 Avigayil Mechtinger가 공개한 취약한 암호로 공개 서비스(예: MySQL, Tomcat, Jenkins 및 WebLogic)를 무차별 대입하여 다른 시스템으로 확산될 수 있는 웜 기능도 가지고 있다.
이 캠페인의 배후에 있는 공격자는 능동적으로 관리되는 맬웨어를 암시하는 웜의 기능을 처음 발견한 이후 해당 웜의 C2(명령 및 제어) 서버를 통해 적극적으로 업데이트하고 있다.
C2 서버는 대상 플랫폼에 따라 bash 또는 PowerShell dropper 스크립트, Golang 기반 바이너리 웜 및 감염된 장치에서 추적할 수 없는 Monero 암호 화폐를 은밀하게 채굴하기 위해 배포된 XMRig miner를 호스팅하는 데 사용된다.
Mechtinger는 "ELF 웜 바이너리와 bash dropper 스크립트는 모두 출판 당시, VirusTotal에서 발견되지 않았다"고 말했다.
[그림1. VirusTotal에서 ELF 웜이 발견되지 않음]
노출된 서버에 무차별 대입 및 악용
이 웜은 암호 스프레이와 하드 코딩된 자격 증명 목록을 사용하여 MySQL, Tomcat 및 Jenkins 서비스를 검색하고 무차별 대입하여 다른 컴퓨터로 확산된다.
이전 버전의 웜도 CVE-2020-1482 Oracle WebLogic 원격 코드 실행 취약점을 악용하려는 것으로 나타났다.
대상 서버 중 하나가 손상되면 XMRig Miner와 Golang 기반 웜 바이너리를 모두 삭제하는 Loader 스크립트(Linux의 경우 ld.sh, Windows의 경우 ld.ps1)를 배포한다.
감염된 시스템이 포트 52013에서 수신 대기하고 있음을 감지하면 맬웨어는 자동으로 소멸된다. 포트가 사용 중이 아니면 웜은 자체 네트워크 소켓을 연다.
[그림2. Windows dropper 스크립트]
Mechtinger는 "웜의 코드가 PE 및 ELF 맬웨어와 VirusTotal에서 탐지되지 않는 ELF 맬웨어 모두에서 거의 동일하다는 사실은 대부분의 보안 및 탐지 플랫폼에서 Linux 위협이 여전히 탐지되고 있음을 보여준다."라고 덧붙였다.
이 새로운 멀티 플랫폼 웜에 의해 시작된 무차별 대입 공격을 방어하려면 로그인을 제한하고 인터넷에 노출된 모든 서비스에서 암호를 추측하기 어렵게 해야 하며 가능하면 2단계 인증을 사용해야 한다.
소프트웨어를 항상 최신 상태로 유지하고 꼭 필요하지 않은 경우 인터넷을 통해 서버에 연결할 수 없도록 하는 것은 이러한 새로운 악성 프로그램 위협을 방어하는 다른 방법이다.
출처 https://www.bleepingcomputer.com/news/security/new-worm-turns-windows-linux-servers-into-monero-miners/ |
