출처 : 한국인터넷진흥원
--
개요
[출처]
1. F5 Networks, “NEW PYTHON-BASED CRYPTO-MINER BOTNET FLYING UNDER THE RADAR”, 2018.1.3.
2. GBHackers on Security, "PyCryptoMiner – A New Linux Crypto-miner Botnet Spreading over the SSH Protocol to Mining Monero", 2018.1.7
작성 : 침해대응단 탐지1팀
- F5 Networks, 파이썬 스크립트를 이용한 모네로 채굴 파일 파이크립토마이너(PyCryptoMiner) 주의 당부
주요내용
- SSH 포트가 노출된 리눅스 시스템을 스캔 후 패스워드 획득을 위한 무차별 공격 수행
- 하드코딩된 C&C서버가 차단될 경우, 특정 페이지(Pastebin.com/yDnzKz72)에 접속하여 접근 가능한 C&C 주소로 업데이트
※ Pastebin.com : 익명으로 텍스트파일을 공유할 수 있는 사이트
- 도메인 등록자 조회 결과 “xinqian Rhys”로 36,000개 이상의 도메인, 235개의 이메일 주소와 연결되어 있으며 사기, 도박, 성인용 웹사이트에 많이 관련되어 있음
- 두 개의 연관된 지갑 주소에는 약 158개의 모네로 확인 - 최근 12월, JBoss 취약점(CVE-2017-12149) 스캔 기능을 추가 하려는 정황이 포착됨
그림 1_ C&C 주소로 연결하는 Spearhead 파이썬 스크립트
- (감염 흐름) 파이썬 스크립트 다운로드 후 가상화폐 모네로(XMR) 채굴 파일 실행
- 비밀번호 획득 후 Spearhead 파이썬 스크립트를 통해 C&C로부터 인코딩된 파이썬 스크립트 실행
- 호스트/DNS 이름, OS 정보, CPU 사용량 등의 감염 시스템 정보 전달 및 명령 수행
- 여러 백신사에서 변종으로 알려져 있는 모네로 채굴 파일 실행
시사점
- 쉽게 유추할 수 없는 패스워드를 사용해야 하며, 주기적인 변경 필요
- 시스템의 주기적인 업데이트가 필요하며, 자원 사용량, 네트워크 트래픽 등의 모니터링 필요
[출처]
1. F5 Networks, “NEW PYTHON-BASED CRYPTO-MINER BOTNET FLYING UNDER THE RADAR”, 2018.1.3.
2. GBHackers on Security, "PyCryptoMiner – A New Linux Crypto-miner Botnet Spreading over the SSH Protocol to Mining Monero", 2018.1.7
작성 : 침해대응단 탐지1팀