출처 : 한국인터넷진흥원

--

개요
 
  1. F5 Networks, 파이썬 스크립트를 이용한 모네로 채굴 파일 파이크립토마이너(PyCryptoMiner) 주의 당부
     

  

주요내용

 

  • SSH 포트가 노출된 리눅스 시스템을 스캔 후 패스워드 획득을 위한 무차별 공격 수행
  • 하드코딩된 C&C서버가 차단될 경우, 특정 페이지(Pastebin.com/yDnzKz72)에 접속하여 접근 가능한 C&C 주소로 업데이트
    ※ Pastebin.com : 익명으로 텍스트파일을 공유할 수 있는 사이트
    - 도메인 등록자 조회 결과 “xinqian Rhys”로 36,000개 이상의 도메인, 235개의 이메일 주소와 연결되어 있으며 사기, 도박, 성인용 웹사이트에 많이 관련되어 있음
    - 두 개의 연관된 지갑 주소에는 약 158개의 모네로 확인
  • 최근 12월, JBoss 취약점(CVE-2017-12149) 스캔 기능을 추가 하려는 정황이 포착됨
 
그림 1_ C&C 주소로 연결하는 Spearhead 파이썬 스크립트
C&C 주소로 연결하는 Spearhead 파이썬 스크립트
 
  • (감염 흐름) 파이썬 스크립트 다운로드 후 가상화폐 모네로(XMR) 채굴 파일 실행
    - 비밀번호 획득 후 Spearhead 파이썬 스크립트를 통해 C&C로부터 인코딩된 파이썬 스크립트 실행
    - 호스트/DNS 이름, OS 정보, CPU 사용량 등의 감염 시스템 정보 전달 및 명령 수행
    - 여러 백신사에서 변종으로 알려져 있는 모네로 채굴 파일 실행
     
 

시사점

 

  • 쉽게 유추할 수 없는 패스워드를 사용해야 하며, 주기적인 변경 필요
  • 시스템의 주기적인 업데이트가 필요하며, 자원 사용량, 네트워크 트래픽 등의 모니터링 필요
     
 

 


[출처]
1. F5 Networks, “NEW PYTHON-BASED CRYPTO-MINER BOTNET FLYING UNDER THE RADAR”, 2018.1.3.
2. GBHackers on Security, "PyCryptoMiner – A New Linux Crypto-miner Botnet Spreading over the SSH Protocol to Mining Monero", 2018.1.7




작성 : 침해대응단 탐지1팀
번호 제목 글쓴이 날짜 조회 수
공지 공식 커뮤니티 채널 안내 [3] Kevin 2018.02.12 140
공지 커뮤니티 로고 변경에 대한 생각 [15] Kevin 2017.12.22 7674
공지 [제안] 커뮤니티 배포판 마당을 통해 배포판 공급 활성화시키기 [21] 행복한펭귄 2017.12.02 15260
공지 리눅스민트 18.3 실비아(MATE) 정식버전 한국어판 배포 [32] Moordev 2017.11.28 16119
공지 하모니카 2.1 로사 RC1 릴리즈 합니다. [10] 하모니카 2016.01.12 145133
공지 차기 버전에 꼭 들어갔으면 하는 패키지를 추천해 주세요. [35] 하모니카 2014.12.12 177000
공지 인터넷 뱅킹, 인터넷 쇼핑을 할 수 있는 사이트를 올려주세요. [2] 하모니카 2014.12.02 158920
1300 우분투 18.04 LTS 기본 디스플레이 서버 xorg로 회귀 [3] file 그럴sudo 2018.01.30 474
1299 라자루스 1.8.0 IDE로 멀티플랫폼 프로그래밍을... [6] file 행복한펭귄 2018.01.30 331
1298 댓글 모음이 제대로 표시안 됨... 댓글 순서가 엉망임 [2] 행복한펭귄 2018.02.14 49
1297 토르 브라우저(Tor Browser) 7.5 업데이트 [1] la_Nube 2018.01.27 359
1296 파이어폭스(Firefox) 58.0 업데이트 la_Nube 2018.01.27 272
1295 썬더버드(Thunderbird) 52.6.0 업데이트 [3] la_Nube 2018.01.27 282
1294 우분투 LTS (리눅스민트 포함) 리눅스 커널 업데이트 - 4.13.0-32 la_Nube 2018.01.26 326
1293 크롬(Chrome) 64.0.3282.119 업데이트 la_Nube 2018.01.25 311
1292 우분투 16.04/14.04 LTS 리눅스 커널 업데이트 - 2018.01.23. [3] la_Nube 2018.01.24 335
1291 무료 통계 패키지 안내 [5] 행복한펭귄 2018.01.23 385
1290 와인 3.0 공식 출시 [10] 행복한펭귄 2018.01.23 593
1289 리브레 오피스 6.0 발표 [4] file 행복한펭귄 2018.01.23 463
1288 데비안 9/8/7 리눅스 커널 업데이트 - CVE-2017-5754 등 [4] la_Nube 2018.01.23 327
1287 구름 os 사용가능한가요 ? [1] 사과나무79 2018.01.23 407
1286 16.04 완전 비추 네요 [8] papa1 2018.01.22 485
» 리눅스 시스템을 노리는 파이썬 기반 코인 채굴 공격 주의 [6] la_Nube 2018.01.22 370
1284 18.3 MATE SYLVIA 한국어 버전 설치 중단 문제 해결법 찾습니다. [9] 베타 2018.01.20 515
1283 SoftMaker FreeOffice 안내 [14] file 행복한펭귄 2018.01.17 586
1282 액티브X 30개 공공기관에서 전격 제거 소식 [12] 행복한펭귄 2018.01.16 484
1281 세이프존, 리눅스용 안티랜섬웨어 솔루션 무료 배포 [17] 행복한펭귄 2018.01.15 598
loginbox
아직 회원이 아니세요? MEMBER JOIN