하모니카 묻고답하기

조회 수 971 추천 수 0 댓글 6
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
출처 : 한국인터넷진흥원

--

개요
 
  1. F5 Networks, 파이썬 스크립트를 이용한 모네로 채굴 파일 파이크립토마이너(PyCryptoMiner) 주의 당부
     

  

주요내용

 

  • SSH 포트가 노출된 리눅스 시스템을 스캔 후 패스워드 획득을 위한 무차별 공격 수행
  • 하드코딩된 C&C서버가 차단될 경우, 특정 페이지(Pastebin.com/yDnzKz72)에 접속하여 접근 가능한 C&C 주소로 업데이트
    ※ Pastebin.com : 익명으로 텍스트파일을 공유할 수 있는 사이트
    - 도메인 등록자 조회 결과 “xinqian Rhys”로 36,000개 이상의 도메인, 235개의 이메일 주소와 연결되어 있으며 사기, 도박, 성인용 웹사이트에 많이 관련되어 있음
    - 두 개의 연관된 지갑 주소에는 약 158개의 모네로 확인
  • 최근 12월, JBoss 취약점(CVE-2017-12149) 스캔 기능을 추가 하려는 정황이 포착됨
 
그림 1_ C&C 주소로 연결하는 Spearhead 파이썬 스크립트
C&C 주소로 연결하는 Spearhead 파이썬 스크립트
 
  • (감염 흐름) 파이썬 스크립트 다운로드 후 가상화폐 모네로(XMR) 채굴 파일 실행
    - 비밀번호 획득 후 Spearhead 파이썬 스크립트를 통해 C&C로부터 인코딩된 파이썬 스크립트 실행
    - 호스트/DNS 이름, OS 정보, CPU 사용량 등의 감염 시스템 정보 전달 및 명령 수행
    - 여러 백신사에서 변종으로 알려져 있는 모네로 채굴 파일 실행
     
 

시사점

 

  • 쉽게 유추할 수 없는 패스워드를 사용해야 하며, 주기적인 변경 필요
  • 시스템의 주기적인 업데이트가 필요하며, 자원 사용량, 네트워크 트래픽 등의 모니터링 필요
     
 

 


[출처]
1. F5 Networks, “NEW PYTHON-BASED CRYPTO-MINER BOTNET FLYING UNDER THE RADAR”, 2018.1.3.
2. GBHackers on Security, "PyCryptoMiner – A New Linux Crypto-miner Botnet Spreading over the SSH Protocol to Mining Monero", 2018.1.7




작성 : 침해대응단 탐지1팀
  • ?
    Moordev 2018.01.22 20:53
    SSH 접속시도할때마다 패스워드가 5번연속으로 틀리면 해당 IP를 Ban한다던지 하는 조치가 필요하겠군요.

    SSH서버설정에 비슷한것이 있는지 모르겠는데 네트워크 모니터링을 수시로 해야겠네요.
  • ?
    바람곰돌 2018.01.22 21:06

    하다하다 별 희안한 것도 생기네요. 나원 ㅡ.ㅡ 귀찮게 또 모니터링을 해야하는군요. NAS쪽은 진짜 신경 쓰이는데 말이죠 ㅡ.ㅡ 오히려 리눅스민트 데스크탑은 걸리면 확 밀어버리면 되겠지만 ㅡ.ㅡ;;

  • profile
    행복한펭귄 2018.01.23 12:19

    이젠 비트코인과 그 녀석들을 활용하는 온 갖 것들이 다양하게 시도되고 있군요.

    아무리 사이버 시대라고 하지만, 정말 이런 시도들은 제발 없었으면 좋겠습니다.

    그 좋은 머리와 능력으로 좋은 일 좀 하면 안 되나, 왜 이리도 사람들을 피곤하게 하고 지치게 하는 온 갖 범죄에 좋은 머리들을 쓰는지 참 알다가도 모르겠습니다.


    여하튼 또 리눅스 시스템을 운영한다면 신경 써야 할 내용이 추가되었군요.

    언제까지 이런 놀이는 계속될 것인지, 근본적으로 이런 문제가 발생하지 않을 방법은 없는지 매우 궁금합니다.

    간단한 바이러스로 인한 피해부터, 온갖 해킹으로 인한 피해는 기업 뿐만 아니라, 개인에게 까지 온갖 어려움을 가져다줍니다. 정말 심각한 전쟁이 아닐 수 없습니다.

    원래 해커는 이런 일을 하는 사람들이 아닌데, 요즈음은 해커라는 말이 잘 못 사용되고 있기도 하고, 또 그 정신이 엉뚱하게 활용되고 있는 사회 단상이 매우 안타깝습니다.


    리눅스가 여기 저기 안 쓰이는 곳이 거의 없을 정도로 사용하다 보니 리눅스 시스템을 겨냥한 온갖 범죄가 기승을 부리네요. 그 만큼 리눅스가 윈도우 못지 않게 널리 쓰인다는 반증이기도 합니다만 마음은 씁쓸하네요.

  • ?
    Moordev 2018.01.23 12:34
    www.fail2ban.org
    이 솔루션을 이용해서 SSH를 방어하시는 것을 추천합니다.

    SSH무작위 접속시도를 막고 해당 IP를 필터링해줍니다.

    일단 이걸로 어느정도 방어 가능할겁니다.
  • profile
    행복한펭귄 2018.01.23 12:59

    실제적 방어 솔루션을 소개해 줘서 고맙습니다.

    잘 활용하도록 하겠습니다.


    온갖 잡다한 것 크래킹 시도들이 생길 때마다 귀찮기도 하고 힘들지만 시스템을 운영하려면 어쩔 수 없이라도 대응을 반드시 철저히 해야 하는 입장이기 때문에 이런 구체적인 대응 방법이 매우 중요하다고 보입니다.

  • ?
    Playing 2018.02.08 15:02

    늦었지만 좋은 글 올려주셔서 고맙습니다

    솔직히 두렵습니다

    네트워크가 가장 위협적이라는 건 이전부터 짐작했지만

    향후 인터넷 기반 기간 사업이 많아질수록 중요성이 올라가기만 할꺼 같아요

    미리미리 대비를 해야하는데

    국내만의 여력으로는 운영체제를 운용하기 힘드니 리눅스 개발에 국가적으로 도움을 주면 좋겠습니다

    중소기업청이나 국민연금이나 수익성 투자도 좋지만 이런 공개된 컴퓨터에 대한 투자도 현명하다고 보거든요

    특히 보안에 관련된 것이라면 분명 이득일꺼예요


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
공지 게시판에 질문하기 전 읽기 - 어떻게 질문을 하는 것이 좋을까? 1 0 Kevin 2019.11.18 12692
2443 인터넷 뱅킹, 인터넷 쇼핑을 할 수 있는 사이트를 올려주세요. 2 0 하모니카 2014.12.02 159968
2442 하모니카 2.1 로사 RC1 릴리즈 합니다. 10 file 0 하모니카 2016.01.12 146401
2441 하모니카 키아나(Qiana) 버전 릴리즈 노트 및 변경 요약 5 0 하모니카 2014.12.29 52459
2440 compiz 설치후 제목표시줄이 나오질 않습니다...ㅡㅡ;;; 3 0 기즈모 2015.01.26 38776
2439 하모니카 키아나 1.0 정식버전 출시합니다. 15 0 하모니카 2015.12.06 37783
2438 [공지] '하모니 소식' 게시판 변경 공지 1 0 LukeHan 2018.12.17 30210
2437 하모니카에는 끝글자 버그 없나요? 2 0 세벌 2015.01.08 29150
2436 그래픽 카드 드라이버 설치 관련 ㅠ.ㅠ 고수님 도와주세요. 7 file 0 잉구탱구 2015.01.08 27714
2435 이이지 뷰어 4종을 추천합니다. 2 file 0 ... 2015.01.07 26707
2434 텔레그램(Telegram) 한글 깨짐 증상 문의 결과 file 0 remo 2014.12.12 25656
2433 .bash_aliases 사용자 스크립트 추가해주세요 4 0 레인 2014.11.17 24747
2432 도대체 데비안과 우분투를 쓰는 사람이 있긴 있나요? 5 0 remo 2014.12.10 24566
2431 다운로드에 토렌트를 추가하는 건 어떻습니까? 1 0 컴포지트 2014.12.02 23555
2430 질문:usb에 비밀번호 설정하는 방법있나요 7 0 프리 2016.10.11 23476
2429 동영상 플레이어로 CM 플레이어를 추천합니다. 8 0 에돌이 2014.12.12 22781
2428 노트북에 하모니카 Plank 테마 버전 시작 메뉴 사라짐 및 Virtualbox 관련 질문입니다. 5 0 래디안트 2014.12.12 22176
2427 하모니카에서 일본어 자판 치기 2 0 peegon 2014.12.15 21833
2426 Linux mint 17.1 로 기반을 업그레이드할 계획이 있으신가요? 2 0 CUBE 2015.01.12 21589
2425 wine을 이용하면 카카오톡도 쓸 수 있습니다. 3 file 0 사포 2014.12.06 20910
2424 오픈뱅킹 쓸 경우 file 0 Ohnine 2015.01.04 20884
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 123 Next
/ 123
CLOSE