마이크로소프트, 흥미로운 폴리모피즘 위협인 Dexphot 마이너에 대해 경고

Microsoft warns of Dexphot miner, an interesting polymorphic threat

마이크로소프트(Microsoft)의 보안 연구원들이 최소 2018년 10월부터 활동해온 새로운 가상 화폐 마이너 변종인 Dexphot에 대해 경고했습니다. 이 악성코드는 감염된 기기의 리소스를 악용하여 가상 화폐를 채굴하며, 연구원들에 따르면 이미 전 세계 컴퓨터 8만여 대를 감염시킨 것으로 나타났습니다. 

감염 수는 지난 6월 최대치를 달성했으며, 일일 감염 시스템 수는 서서히 감소하고 있습니다. Dexphot은 뛰어난 회피 기술을 가지고 있으며, 매우 정교합니다. 

“Dexphot 공격은 보안 솔루션을 피하기 위해 여러 단계의 난독화, 암호화, 랜덤화 된 파일 명 사용, 설치 프로그램 숨김 등 다양한 정교한 방법들을 사용했습니다. 또한 파일리스 기술을 통해 악성 코드를 메모리 내에서 직접 실행했으며, 포렌식 작업에 필요한 흔적을 아주 조금만 남겼습니다.” 

“이는 악성 행동을 위장하기 위해 정식 시스템 프로세스를 하이잭 했습니다. 중단되지 않을 경우, Dexphot은 가상화폐 마이너를 실행합니다. 모니터링 서비스, 보안 솔루션이 악성코드를 제거하려 시도할 경우 재감염을 일으키는 예약 작업 또한 실행합니다.” 

연구원들은 Dexphot이 이전에 SoftwareBundler:Win32/ICLoader 및 변종에 감염된 적이 있는 컴퓨터에 드롭된다는 사실을 발견했습니다. 이 인스톨러는 악성 페이로드를 다운로드하기 위해 URL 2개를 사용하는데, 이 URL 2개가 Dexphot의 지속성 획득, 악성코드 업데이트, 기기 재감염 등 작업에 사용되었습니다.

이 인스톨러는 위 URL 중 하나에서 MSI 패키지를 다운로드 후 악성코드를 은밀히 설치하기 위해 msiexec.exe를 실행합니다. 연구원들은 악성 코드가 정식 Windows 프로세스를(msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe, powershell.exe 등) 악용하여 탐지를 피하고 악성 공격을 실행하기 위해 다양한 LoLbins(living-off-the-land) 기술을 사용한다는 것을 발견했습니다. 

Dexphot은 탐지를 피하기 위해 수많은 폴리모피즘 및 암호화 기법을 사용합니다. 이는 식별 가능한 기능을 지속적으로 변경한다는 것을 의미합니다. 

폴리모피즘(polymorphism)은 파일명, 형태, 암호화 키 및 기타 아티팩트 등 식별 가능한 특징을 지속적으로 변경하는 것을 일컫는 기술입니다. 

전문가들은 Dexphot 운영자가 기기 수천 대에서 20~30분마다 변경되는 파일을 배포하려 시도한 것을 발견했습니다. 

“Dexphot은 그들이 배포하는 바이너리에서 여러 계층의 폴리모피즘 기술을 사용합니다. 예를 들어 이 캠페인에 사용된 MSI 패키지는 다른 파일을 포함하고 있습니다.” 

Dexphot의 제작자는 완벽히 삭제되지 않은 시스템을 재감염시키는 효과적인 지속성 메커니즘을 구현했습니다. 

이 악성코드는 정식 프로세스인 svchost.exe와 nslookup.exe를 실행한 후 이를 활용하여 모든 악성 컴포넌트가 정상적으로 실행되는지 모니터링하고 필요할 경우 재시작하는 모니터링 컴포넌트를 실행하기 위해 프로세스 하울링 기술을 사용합니다. 

또한 지속성을 획득하기 위해 예약 작업을 설정하기도 합니다.

IoCs

Installer (SHA-256):

72acaf9ff8a43c68416884a3fff3b23e749b4bb8fb39e16f9976643360ed391f

MSI files (SHA-256):

22beffb61cbdc2e0c3eefaf068b498b63a193b239500dab25d03790c467379e3

65eac7f9b67ff69cefed288f563b4d77917c94c410c6c6c4e4390db66305ca2a

ba9467e0d63ba65bf10650a3c8d36cd292b3f846983032a44a835e5966bc7e88

Loader DLLs  (SHA-256):

537d7fe3b426827e40bbdd1d127ddb59effe1e9b3c160804df8922f92e0b366e

504cc403e0b83233f8d20c0c86b0611facc040b868964b4afbda3214a2c8e1c5

aa5c56fe01af091f07c56ac7cbd240948ea6482b6146e0d3848d450977dff152

출처 :

https://securityaffairs.co/wordpress/94457/cyber-crime/dexphot-miner.html

https://www.microsoft.com/security/blog/2019/11/26/insights-from-one-year-of-tracking-a-polymorphic-threat/