오늘:
808
어제:
632
전체:
3,210,426

하모니카 묻고답하기

조회 수 1387 추천 수 0 댓글 6
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
출처 : 한국인터넷진흥원

--

개요
 
  1. F5 Networks, 파이썬 스크립트를 이용한 모네로 채굴 파일 파이크립토마이너(PyCryptoMiner) 주의 당부
     

  

주요내용

 

  • SSH 포트가 노출된 리눅스 시스템을 스캔 후 패스워드 획득을 위한 무차별 공격 수행
  • 하드코딩된 C&C서버가 차단될 경우, 특정 페이지(Pastebin.com/yDnzKz72)에 접속하여 접근 가능한 C&C 주소로 업데이트
    ※ Pastebin.com : 익명으로 텍스트파일을 공유할 수 있는 사이트
    - 도메인 등록자 조회 결과 “xinqian Rhys”로 36,000개 이상의 도메인, 235개의 이메일 주소와 연결되어 있으며 사기, 도박, 성인용 웹사이트에 많이 관련되어 있음
    - 두 개의 연관된 지갑 주소에는 약 158개의 모네로 확인
  • 최근 12월, JBoss 취약점(CVE-2017-12149) 스캔 기능을 추가 하려는 정황이 포착됨
 
그림 1_ C&C 주소로 연결하는 Spearhead 파이썬 스크립트
C&C 주소로 연결하는 Spearhead 파이썬 스크립트
 
  • (감염 흐름) 파이썬 스크립트 다운로드 후 가상화폐 모네로(XMR) 채굴 파일 실행
    - 비밀번호 획득 후 Spearhead 파이썬 스크립트를 통해 C&C로부터 인코딩된 파이썬 스크립트 실행
    - 호스트/DNS 이름, OS 정보, CPU 사용량 등의 감염 시스템 정보 전달 및 명령 수행
    - 여러 백신사에서 변종으로 알려져 있는 모네로 채굴 파일 실행
     
 

시사점

 

  • 쉽게 유추할 수 없는 패스워드를 사용해야 하며, 주기적인 변경 필요
  • 시스템의 주기적인 업데이트가 필요하며, 자원 사용량, 네트워크 트래픽 등의 모니터링 필요
     
 

 


[출처]
1. F5 Networks, “NEW PYTHON-BASED CRYPTO-MINER BOTNET FLYING UNDER THE RADAR”, 2018.1.3.
2. GBHackers on Security, "PyCryptoMiner – A New Linux Crypto-miner Botnet Spreading over the SSH Protocol to Mining Monero", 2018.1.7




작성 : 침해대응단 탐지1팀
  • ?
    Moordev 2018.01.22 20:53
    SSH 접속시도할때마다 패스워드가 5번연속으로 틀리면 해당 IP를 Ban한다던지 하는 조치가 필요하겠군요.

    SSH서버설정에 비슷한것이 있는지 모르겠는데 네트워크 모니터링을 수시로 해야겠네요.
  • ?
    바람곰돌 2018.01.22 21:06

    하다하다 별 희안한 것도 생기네요. 나원 ㅡ.ㅡ 귀찮게 또 모니터링을 해야하는군요. NAS쪽은 진짜 신경 쓰이는데 말이죠 ㅡ.ㅡ 오히려 리눅스민트 데스크탑은 걸리면 확 밀어버리면 되겠지만 ㅡ.ㅡ;;

  • profile
    행복한펭귄 2018.01.23 12:19

    이젠 비트코인과 그 녀석들을 활용하는 온 갖 것들이 다양하게 시도되고 있군요.

    아무리 사이버 시대라고 하지만, 정말 이런 시도들은 제발 없었으면 좋겠습니다.

    그 좋은 머리와 능력으로 좋은 일 좀 하면 안 되나, 왜 이리도 사람들을 피곤하게 하고 지치게 하는 온 갖 범죄에 좋은 머리들을 쓰는지 참 알다가도 모르겠습니다.


    여하튼 또 리눅스 시스템을 운영한다면 신경 써야 할 내용이 추가되었군요.

    언제까지 이런 놀이는 계속될 것인지, 근본적으로 이런 문제가 발생하지 않을 방법은 없는지 매우 궁금합니다.

    간단한 바이러스로 인한 피해부터, 온갖 해킹으로 인한 피해는 기업 뿐만 아니라, 개인에게 까지 온갖 어려움을 가져다줍니다. 정말 심각한 전쟁이 아닐 수 없습니다.

    원래 해커는 이런 일을 하는 사람들이 아닌데, 요즈음은 해커라는 말이 잘 못 사용되고 있기도 하고, 또 그 정신이 엉뚱하게 활용되고 있는 사회 단상이 매우 안타깝습니다.


    리눅스가 여기 저기 안 쓰이는 곳이 거의 없을 정도로 사용하다 보니 리눅스 시스템을 겨냥한 온갖 범죄가 기승을 부리네요. 그 만큼 리눅스가 윈도우 못지 않게 널리 쓰인다는 반증이기도 합니다만 마음은 씁쓸하네요.

  • ?
    Moordev 2018.01.23 12:34
    www.fail2ban.org
    이 솔루션을 이용해서 SSH를 방어하시는 것을 추천합니다.

    SSH무작위 접속시도를 막고 해당 IP를 필터링해줍니다.

    일단 이걸로 어느정도 방어 가능할겁니다.
  • profile
    행복한펭귄 2018.01.23 12:59

    실제적 방어 솔루션을 소개해 줘서 고맙습니다.

    잘 활용하도록 하겠습니다.


    온갖 잡다한 것 크래킹 시도들이 생길 때마다 귀찮기도 하고 힘들지만 시스템을 운영하려면 어쩔 수 없이라도 대응을 반드시 철저히 해야 하는 입장이기 때문에 이런 구체적인 대응 방법이 매우 중요하다고 보입니다.

  • ?
    Playing 2018.02.08 15:02

    늦었지만 좋은 글 올려주셔서 고맙습니다

    솔직히 두렵습니다

    네트워크가 가장 위협적이라는 건 이전부터 짐작했지만

    향후 인터넷 기반 기간 사업이 많아질수록 중요성이 올라가기만 할꺼 같아요

    미리미리 대비를 해야하는데

    국내만의 여력으로는 운영체제를 운용하기 힘드니 리눅스 개발에 국가적으로 도움을 주면 좋겠습니다

    중소기업청이나 국민연금이나 수익성 투자도 좋지만 이런 공개된 컴퓨터에 대한 투자도 현명하다고 보거든요

    특히 보안에 관련된 것이라면 분명 이득일꺼예요


List of Articles
번호 제목 추천 수 글쓴이 날짜 조회 수
공지 게시판에 질문하기 전 읽기 - 어떻게 질문을 하는 것이 좋을까? 1 0 Kevin 2019.11.18 29730
1154 우분투 18.04 LTS 기본 디스플레이 서버 xorg로 회귀 3 file 0 그럴sudo 2018.01.30 2304
1153 라자루스 1.8.0 IDE로 멀티플랫폼 프로그래밍을... 6 file 0 행복한펭귄 2018.01.30 1555
1152 댓글 모음이 제대로 표시안 됨... 댓글 순서가 엉망임 2 0 행복한펭귄 2018.02.14 1003
1151 토르 브라우저(Tor Browser) 7.5 업데이트 1 0 la_Nube 2018.01.27 1417
1150 파이어폭스(Firefox) 58.0 업데이트 0 la_Nube 2018.01.27 1411
1149 썬더버드(Thunderbird) 52.6.0 업데이트 3 0 la_Nube 2018.01.27 1210
1148 우분투 LTS (리눅스민트 포함) 리눅스 커널 업데이트 - 4.13.0-32 0 la_Nube 2018.01.26 1161
1147 크롬(Chrome) 64.0.3282.119 업데이트 0 la_Nube 2018.01.25 1228
1146 우분투 16.04/14.04 LTS 리눅스 커널 업데이트 - 2018.01.23. 3 0 la_Nube 2018.01.24 1171
1145 무료 통계 패키지 안내 5 0 행복한펭귄 2018.01.23 1442
1144 와인 3.0 공식 출시 10 0 행복한펭귄 2018.01.23 2777
1143 리브레 오피스 6.0 발표 4 file 0 행복한펭귄 2018.01.23 1260
1142 데비안 9/8/7 리눅스 커널 업데이트 - CVE-2017-5754 등 4 0 la_Nube 2018.01.23 1134
1141 구름 os 사용가능한가요 ? 1 0 사과나무79 2018.01.23 1512
» 리눅스 시스템을 노리는 파이썬 기반 코인 채굴 공격 주의 6 0 la_Nube 2018.01.22 1387
1139 SoftMaker FreeOffice 안내 14 file 0 행복한펭귄 2018.01.17 1988
1138 액티브X 30개 공공기관에서 전격 제거 소식 12 0 행복한펭귄 2018.01.16 1198
1137 세이프존, 리눅스용 안티랜섬웨어 솔루션 무료 배포 17 0 행복한펭귄 2018.01.15 1531
1136 바로셀로나시 정부 독점 소프트웨어에서 오픈소스 소프트웨어로 마이그레이션 13 0 행복한펭귄 2018.01.15 1279
1135 번역은 어려워... 9 0 세벌 2018.01.12 1240
Board Pagination Prev 1 ... 64 65 66 67 68 69 70 71 72 73 ... 126 Next
/ 126
CLOSE