보안정보

 

개요
Win32/Trojan.CoinMiner.83459 는 WMI(Windows Management Instrumentation) 을 사용하는 Fileless 형태의 악성코드 이다.

 

해당 악성코드는 SMB 취약점(MS17-010)을 통해 유포되며, WMI script를 통해 삭제하고 실행하는 형태이다.

WMI script 통해 실행되는 ActiveScriptEventConsumer 클래스에서 C2 서버와의 통신를 시작한다.

해당 C2 서버에서 CoinMiner 용 악성파일을 다운로드하여 실행하며, 3시간 마다 트리거 되도록 설정되어 있다.

 

최초 유포를 위해 SMB 취약점이 사용되므로 해당 취약점에 대해 패치하는것을 권장한다.
 

분석
EternalBlue 취약점(SMB, MS17-010)을 이용하여 유포되는 CoinMiner 형태의 악성코드가 확인 되었다.
- 아시아 지역에서 많이 발생된것으로 확인 된다.

 

감염 경로
1. MS17-010 취약점을 이용하여 취약 시스템을 찾는다.
2. 대상 시스템을 찾게 되면 WMI 스크립트를 통해 백도어를 삭제하고 실행 한다.
3. 해당 WMI 스크립트를 통해 악의적인 C2 서버에 접속 한다.
4. C2 서버를 통해 또 다른 C2[2], C2[3] 서버에 접속하여 구성요소(악의적인 파일)을 다운로드 한다.
5. WMI 스크립트를 통해 실행 된다.(3시간 마다 트리거)

 

[그림 1. 감염 흐름도, 참조: trendmicro]

 

악의적인 WMI 스크립트에서 ActiveScriptEventConsumer 클래스를 통해 C2 서버와 통신을 시도한다.

 

[그림 2. ActiveScriptEventConsumer 클래스 내역]

 

[그림 3. ActiveScriptEventConsumer 클래스 통신 시도 내역]

 

해당 C2 에서는 추가적인 파일 다운로드를 위한 또다른 C2[2], C2[3] 서버가 확인 된다.

 

[그림 4. C2 서버 접속시 확인 가능한 C2[2], C2[3] 서버 내역]

 

최종적으로 다운로드 된 악성코드의 경우 CoinMiner 종류로 확인 된다.

Fileless 형태로 파일이 삭제되고 WMI 스크립트를 통해 트리거 되기 때문에 탐지가 쉽지 않으며, 현재에도 C2 서버가 활동 중이므로 각별한 주의가 필요하다.

최초 유포를 위해 SMB 취약점이 사용되므로 해당 취약점에 대해 패치하는것을 권장한다.

 

 

대응방안
1) Sniper IPS 에서는 아래와 같은 패턴으로 대응 가능하다.

 

2) Sniper APTX 에서는 아래와 같이 해당 파일에 대해 악성으로 판단하여 대응 가능하다.

 

 

3) Snort 패턴은 시큐어캐스트에서 확인 가능하다.
 
참조
http://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-uses-wmi-eternalblue-spread-filelessly/