New Botnet Hides in Blockchain DNS Mist and Removes Cryptominer
보안 연구원들이 무해한 행동을 하며 C&C 서버와의 오리지널 커뮤니케이션을 사용하는 새로운 봇넷을 발견했습니다.
Fbot은 오리지널 DDoS 모듈을 가지고는 있지만 사용하지는 않는 것으로 보이는 Mirai의 특이한 변종입니다. 더욱 놀라운 것은, 이 봇넷의 목표가 크립토마이닝 악성코드에 감염 된 기기를 찾아 제거하는 것이라는 점입니다.
Qihoo 360Netlab의 보안 연구원들은 안드로이드 기기들(스마트폰, 스마트 TV, 셋탑박스)에서 모네로를 채굴하는 ADB.Miner의 변종으로 알려진 봇넷 악성코드인 'com.ufo.miner' 를 물리치는 새로운 변종을 발견했습니다.
Fbot, 크립토마이닝 악성코드 쫓아 내
Fbot은 ADB(안드로이드 디버그 브릿지) 서비스가 사용하는 포트 5555를 사용하는 장비를 스캔 해 ADB 인터페이스를 통해 스크립트를 내려받는 방식으로 확산 됩니다.
이 스크립트의 기능 중 하나는 'com.ufo.miner' 악성코드를 언인스톨 하는 것입니다. 또 다른 기능은 메인 페이로드인 Fbot을 다운로드 하는 것입니다. 여기에는 C&C 서버에 연결하는 세부 정보가 내장 되어 있습니다. 세 번째 기능은, 자체 파괴 기능입니다.
Fbot은 이미 com.ufo.miner에 감염 된 시스템에 긍정적인 영향을 미치는 것으로 보입니다. 이는 크립토마이닝 활동과 관련 된 프로세스 (SMI, RIG, XIG)를 찾아 중단 시키기 때문입니다.
블록체인 뒤에 숨어
Fbot의 제작자들은 C2 서버에 분산 DNS를 통해 접근 가능한 도메인네임을 사용했습니다. 이는 P2P 네트워크를 통해 도메인을 공유하여 추적 및 제거가 어렵도록 합니다.
“C2 도메인인 mu니.lib은 표준 DNS 도메인네임이 아닙니다. .lib은 ICANN에 등록 되어 있지 않으며, 기존의 DNS 시스템으로는 해결할 수 없습니다.”
<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-botnet-hides-in-blockchain-dns-mist-and-removes-cryptominer/>
이 도메인 명은 EmerCoin의 블록체인 기반의 DNS인 EmerDNS를 사용합니다. EmerDNS는 DMC, COIN, LIB, BAZAR 네임 스페이스를 사용한 도메인 명 등록을 제공합니다. 이는 자체 DNS 서버를 통해 이루어집니다.
Fbot의 기술적 세부 정보는 아주 흥미롭습니다. 하지만 이 봇넷이 그저 선의에 의한 것인지, 아니면 경쟁자를 제거하기 위한 것인지는 아직 알 수 없습니다. 확실한 것은, 지금 현재는 Fbot이 크립토마이닝 악성코드를 제거하고 피해자의 시스템의 자리를 차지한다는 것입니다.
출처 :
국내 유포중인 혹스(Hoax) 메일, 일본에서도 유포중! (0) | 2018.09.21 |
---|---|
계속 진화중인 혹스(Hoax) 메일의 변종들 (0) | 2018.09.20 |
Tomcat서버, 갠드크랩(GandCrab) 4.3 랜섬웨어에 공격당해 (0) | 2018.09.19 |
새로운 Brrr Dharma 랜섬웨어 변종 발견 (0) | 2018.09.19 |
구글 안드로이드 팀, Honeywell 안드로이드 핸드헬드 PC터에서 심각도 높은 취약점 발견 (0) | 2018.09.18 |
댓글 영역