상세 컨텐츠
본문
Fileless cryptocurrency miner CoinMiner uses NSA EternalBlue exploit to spread
새로운 파일리스 채굴기인 CoinMiner가 발견 되었습니다. 이는 확산을 위해 NSA의 EternalBlue 익스플로잇과 WMI 툴을 사용하는 것으로 나타났습니다.
CoinMiner는 감염 된 시스템에서 명령어를 실행하기 위해 WMI(Windows Management Instrumentation) 툴킷을 이용하는 파일리스 악성코드입니다.
보안전문가는 “이 공격은 지속성 확보를 위해 WMI를 사용한다. 특히, 스크립트 실행을 위해 WMI Standard Event Consumer 스크립팅 프로그램 (scrcons.exe)를 사용한다. 시스템에 침투하기 위해, 악성코드는 EternalBlue 취약점(MS17-010)을 사용한다. 이 공격은 파일리스 WMI 스크립트와 EternalBlue 조합을 이용해 극도의 은밀함과 지속성을 유지할 수 있게 된다.”고 밝혔습니다.
JScript를 분석 결과, 공격자들은 적절한 서버 및 컴포넌트들을 재빨리 업데이트 해 탐지를 피하기 위해 여러 계층의 C&C 서버를 사용한 것으로 나타났습니다.
CoinMiner는 피해자들을 감염시키기 위해 EternalBlue를 악용하는 최초의 채굴 악성코드는 아닙니다. 지난 5월, 또 다른 연구원들은 많은 장비들이 Adylkuzz 채굴 악성코드에 감염 되어서 WannaCry 감염을 피할 수 있었다고 밝혔습니다.
CoinMiner 감염을 피하기 위한 가장 좋은 방법은 다음과 같습니다.
EternalBlue를 악용하는 악성코드 감염을 예방하려면, MS17-010 마이크로소프트 보안 패치가 설치 되어 있는지 확인 하거나, 시스템에서 SMBv1 프로토콜을 비활성화 하면 됩니다.
CoinMiner는 아래와 같이 공격 체인에서 스크립트 및 다른 컴포넌트를 다운로드 하기 위해 WMI를 이용합니다.
시스템에서 WMI를 비활성화 하거나, WMI 접근을 제한하는 것 만으로 이 공격을 대비하는데 효과적일 수 있습니다.
마이크로소프트는 SMBv1과 WMI를 비활성화 하는 방법을 아래와 같이 제공하고 있습니다:
참고 :
http://securityaffairs.co/wordpress/62254/cyber-crime/fileless-miner-coinminer.html
'국내외 보안동향' 카테고리의 다른 글
| 이미 보낸 이메일이라도 공격자가 내용을 수정 가능한 익스플로잇 발견 (0) | 2017.08.24 |
|---|---|
| 중국 DDoS산업의 현재 (0) | 2017.08.24 |
| 중국 광고 SDK와 연결 된 안드로이드 스파이웨어 발견 (0) | 2017.08.23 |
| 악성코드가 악용하는 DNS Tunneling 기술 분석 (0) | 2017.08.22 |
| 가상화폐 거래소 Enigma, 해킹으로 47만달러 가치의 이더리움 도난당해 (2) | 2017.08.22 |
댓글 영역