출처 : 한국인터넷진흥원

--

개요
 
  1. F5 Networks, 파이썬 스크립트를 이용한 모네로 채굴 파일 파이크립토마이너(PyCryptoMiner) 주의 당부
     

  

주요내용

 

  • SSH 포트가 노출된 리눅스 시스템을 스캔 후 패스워드 획득을 위한 무차별 공격 수행
  • 하드코딩된 C&C서버가 차단될 경우, 특정 페이지(Pastebin.com/yDnzKz72)에 접속하여 접근 가능한 C&C 주소로 업데이트
    ※ Pastebin.com : 익명으로 텍스트파일을 공유할 수 있는 사이트
    - 도메인 등록자 조회 결과 “xinqian Rhys”로 36,000개 이상의 도메인, 235개의 이메일 주소와 연결되어 있으며 사기, 도박, 성인용 웹사이트에 많이 관련되어 있음
    - 두 개의 연관된 지갑 주소에는 약 158개의 모네로 확인
  • 최근 12월, JBoss 취약점(CVE-2017-12149) 스캔 기능을 추가 하려는 정황이 포착됨
 
그림 1_ C&C 주소로 연결하는 Spearhead 파이썬 스크립트
C&C 주소로 연결하는 Spearhead 파이썬 스크립트
 
  • (감염 흐름) 파이썬 스크립트 다운로드 후 가상화폐 모네로(XMR) 채굴 파일 실행
    - 비밀번호 획득 후 Spearhead 파이썬 스크립트를 통해 C&C로부터 인코딩된 파이썬 스크립트 실행
    - 호스트/DNS 이름, OS 정보, CPU 사용량 등의 감염 시스템 정보 전달 및 명령 수행
    - 여러 백신사에서 변종으로 알려져 있는 모네로 채굴 파일 실행
     
 

시사점

 

  • 쉽게 유추할 수 없는 패스워드를 사용해야 하며, 주기적인 변경 필요
  • 시스템의 주기적인 업데이트가 필요하며, 자원 사용량, 네트워크 트래픽 등의 모니터링 필요
     
 

 


[출처]
1. F5 Networks, “NEW PYTHON-BASED CRYPTO-MINER BOTNET FLYING UNDER THE RADAR”, 2018.1.3.
2. GBHackers on Security, "PyCryptoMiner – A New Linux Crypto-miner Botnet Spreading over the SSH Protocol to Mining Monero", 2018.1.7




작성 : 침해대응단 탐지1팀
번호 제목 글쓴이 날짜 조회 수
공지 하모니카 커뮤니티 2018-07 웹로그 분석 요약 [3] LukeHan 2018.08.02 91
공지 리눅스민트19 Tara MATE 64bit 한국어 설정버전 배포 [5] Moordev 2018.07.06 552
공지 리눅스민트 19 Tara 정식 버전 출시 - 2018년 6월 29일 [1] la_Nube(누베) 2018.06.30 356
공지 우분투(Ubuntu) LTS 리눅스 커널 업데이트 - Spectre Variant 4 la_Nube(누베) 2018.05.22 200
공지 Avidemux 2.7 오픈 소스 비디오 에디터, FFmpeg 3.3 지원, VP9 디코딩 수정 추가 [2] 행복한펭귄 2018.05.19 233
공지 Asteroid OS 1.0-안드로이드 스마트 웨어러블 OS 공개 [1] PEACH 2018.05.18 248
공지 [잡담] 유튜브에는 하모니카 리눅스가 없다??? [6] 행복한펭귄 2018.05.15 453
공지 엑셀 대신 쓸만한 무료 오픈소스 제품 7선 [1] 행복한펭귄 2018.05.15 437
공지 (택배회사 사칭) 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 [1] la_Nube(누베) 2018.05.15 132
공지 [모두의 의견을 듣고 싶습니다!] 하모니카 커뮤니티 Readme 18.04 [11] PEACH 2018.04.30 332
공지 [배포판 제작] Pinguy Builder를 이용하여 Ubuntu 18.04 LTS Live System을 구축할 수 있습니다. [5] 행복한펭귄 2018.04.18 206
공지 [프로그램번역]PlayonLinux 최신 번역 [3] Moordev 2018.04.03 340
공지 하모니카 커뮤니티 소개 [18] Kevin 2018.04.01 348
공지 공식 커뮤니티 채널 안내 [3] Kevin 2018.02.12 250
공지 차기 버전에 꼭 들어갔으면 하는 패키지를 추천해 주세요. [35] 하모니카 2014.12.12 177142
1146 리브레 오피스 6.0 발표 [4] file 행복한펭귄 2018.01.23 513
1145 데비안 9/8/7 리눅스 커널 업데이트 - CVE-2017-5754 등 [4] la_Nube 2018.01.23 337
1144 구름 os 사용가능한가요 ? [1] 사과나무79 2018.01.23 517
» 리눅스 시스템을 노리는 파이썬 기반 코인 채굴 공격 주의 [6] la_Nube 2018.01.22 529
1142 SoftMaker FreeOffice 안내 [14] file 행복한펭귄 2018.01.17 681
1141 액티브X 30개 공공기관에서 전격 제거 소식 [12] 행복한펭귄 2018.01.16 496
1140 세이프존, 리눅스용 안티랜섬웨어 솔루션 무료 배포 [17] 행복한펭귄 2018.01.15 682
1139 바로셀로나시 정부 독점 소프트웨어에서 오픈소스 소프트웨어로 마이그레이션 [13] 행복한펭귄 2018.01.15 541
1138 번역은 어려워... [9] 세벌 2018.01.12 530
1137 우분투 17.04 지원종료 - 1월 13일 (유니티7으로 출시된 마지막 우분투) [4] la_Nube 2018.01.10 582
1136 우분투 16.04의 (리눅스민트, 하모니카 포함) HWE 커널이 4.10에서 4.13으로 변경 [6] la_Nube 2018.01.10 603
1135 인텔 CPU 사건과 관련한 질문입니다. [9] 블랙커피 2018.01.10 547
1134 리눅스 커널 4.4.0-108 관련 [6] 변신 2018.01.10 497
1133 하모니카 기본 한글 입력기? [3] 세벌 2018.01.09 522
1132 인텔 CPU 등의 멜트다운 & 스펙터 취약점에 대한 대응 정리 la_Nube 2018.01.07 669
1131 웹브라우저에서 인텔 CPU 등의 멜트다운 & 스펙터 취약점 '완화' 조치 [2] la_Nube 2018.01.06 489
1130 kldp 연결 안 되고 있네요. [2] 세벌 2018.01.06 467
1129 크롬 63.0.3239.132 / 파이어폭스 57.0.4 (인텔 CPU 등 취약점 관련) [3] la_Nube 2018.01.05 536
1128 인텔 CPU 등 취약점의 윈도 및 주요 리눅스 패치 상태 (업데이트 中) [7] la_Nube 2018.01.05 867
1127 인텔 CPU 등의 Kernel Side-Channel Attacks 주요 리눅스 패치 여부 [3] la_Nube 2018.01.05 956
loginbox
아직 회원이 아니세요? MEMBER JOIN