상세 컨텐츠

본문 제목

새로운 봇넷, 블록체인 DNS 뒤에 숨어 크립토마이너 삭제해

국내외 보안동향

by 알약(Alyac) 2018. 9. 20. 13:41

본문

New Botnet Hides in Blockchain DNS Mist and Removes Cryptominer


보안 연구원들이 무해한 행동을 하며 C&C 서버와의 오리지널 커뮤니케이션을 사용하는 새로운 봇넷을 발견했습니다.


Fbot은 오리지널 DDoS 모듈을 가지고는 있지만 사용하지는 않는 것으로 보이는 Mirai의 특이한 변종입니다. 더욱 놀라운 것은, 이 봇넷의 목표가 크립토마이닝 악성코드에 감염 된 기기를 찾아 제거하는 것이라는 점입니다.


Qihoo 360Netlab의 보안 연구원들은 안드로이드 기기들(스마트폰, 스마트 TV, 셋탑박스)에서 모네로를 채굴하는 ADB.Miner의 변종으로 알려진 봇넷 악성코드인 'com.ufo.miner' 를 물리치는 새로운 변종을 발견했습니다.



Fbot, 크립토마이닝 악성코드 쫓아 내


Fbot은 ADB(안드로이드 디버그 브릿지) 서비스가 사용하는 포트 5555를 사용하는 장비를 스캔 해 ADB 인터페이스를 통해 스크립트를 내려받는 방식으로 확산 됩니다.


이 스크립트의 기능 중 하나는 'com.ufo.miner' 악성코드를 언인스톨 하는 것입니다. 또 다른 기능은 메인 페이로드인 Fbot을 다운로드 하는 것입니다. 여기에는 C&C 서버에 연결하는 세부 정보가 내장 되어 있습니다. 세 번째 기능은, 자체 파괴 기능입니다.


Fbot은 이미 com.ufo.miner에 감염 된 시스템에 긍정적인 영향을 미치는 것으로 보입니다. 이는 크립토마이닝 활동과 관련 된 프로세스 (SMI, RIG, XIG)를 찾아 중단 시키기 때문입니다.



블록체인 뒤에 숨어


Fbot의 제작자들은 C2 서버에 분산 DNS를 통해 접근 가능한 도메인네임을 사용했습니다. 이는 P2P 네트워크를 통해 도메인을 공유하여 추적 및 제거가 어렵도록 합니다.


“C2 도메인인 mu니.lib은 표준 DNS 도메인네임이 아닙니다. .lib은 ICANN에 등록 되어 있지 않으며, 기존의 DNS 시스템으로는 해결할 수 없습니다.”


<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-botnet-hides-in-blockchain-dns-mist-and-removes-cryptominer/>


이 도메인 명은 EmerCoin의 블록체인 기반의 DNS인 EmerDNS를 사용합니다. EmerDNS는 DMC, COIN, LIB, BAZAR 네임 스페이스를 사용한 도메인 명 등록을 제공합니다. 이는 자체 DNS 서버를 통해 이루어집니다.


Fbot의 기술적 세부 정보는 아주 흥미롭습니다. 하지만 이 봇넷이 그저 선의에 의한 것인지, 아니면 경쟁자를 제거하기 위한 것인지는 아직 알 수 없습니다. 확실한 것은, 지금 현재는 Fbot이 크립토마이닝 악성코드를 제거하고 피해자의 시스템의 자리를 차지한다는 것입니다.






출처 : 

https://www.bleepingcomputer.com/news/security/new-botnet-hides-in-blockchain-dns-mist-and-removes-cryptominer/

https://blog.netlab.360.com/threat-alert-a-new-worm-fbot-cleaning-adbminer-is-using-a-blockchain-based-dns-en/

관련글 더보기

댓글 영역