요약
- 러시아 백신회사 ‘Dr.Web’ 이 달 새롭게 발견함. 현재 뚜렷한 명칭은 없으며 ‘Linux.BtcMine.174’라고 탐지됨.
- 공격 시나리오 :
① Trojan은 1000줄의 큰 쉘 스크립트로 감염된 리눅스 시스템에서 처음으로 실행되는 파일임. 스크립트의 역할은 쓰기 권한이 허락된 폴더를 디스크 내에서 찾아, 스크립트를 복제하고 후에 다른 모듈을 다운로드 함
② 권한 상승 취약점 CVE-2016-5195(Dirty COW)와 CVE-2013-2094 중 하나를 이용하여 root 권한을 획득하고 OS 전체 접근
③ Trojan은 nohup(리눅스에서 프로세스를 백그라운드로 실행할 수 있게함) 유틸리티가 없을 시 다운로드하여 스스로를 로컬 데몬으로 설정
④ 감염된 호스트를 장악 후 시스템을 스캔하고 다른 가상화폐 채굴 멀웨어를 종료
⑤ 모네로 채굴기를 다운로드 하고 실행
⑥ 또 다른 멀웨어 Bill.Gates Trojan(DDoS 멀웨어로 유사한 백도어 기능을 많이 가지고 있음)를 다운로드하여 실행
⑦ Linux기반의 백신 이름과 유사한 프로세서를 찾아 죽여 백신이 탐지하는 것을 원천 봉쇄
*프로세서 이름의 예: safedog, aegis, yunsuo, clamd, avast, avgd, cmdavd, cmdmgd, drweb-configd, drweb-spider-kmod, esets, xmirrord
⑧ trojan을 오토런 파일 리스트에 추가함 (etc/rc.local, /etc/rc.d/..., /etc/cron.hourly)
⑨ rootkit을 다운로드하고 실행함
*루트킷은 su 명령어를 이용해 사용자가 입력한 패스워드를 훔치고, 파일 시스템에 파일을 숨기고 네트워크 연결과 프로세서 실행을 할 수 있음
⑩ 감염된 호스타가 SSH를 통해 연결된 원격서버에 대한 정보를 모으는 함수를 실행하고 멀웨어를 전파하기 위해 그 서버들과도 연결을 시도.
*SSH를 통한 자가 증식 방법이 Linux.BtcMine.174의 주요한 전파 방식임. Linux.BtcMine.174은 유효한 SSH 크리덴셜을 훔치기 때문에 리눅스 sysadmin이 SSH 연결 서버에 대해 적절한 보안정책을 펼치고 일부 선택된 호스트에 대해서만 연결을 허락할지라도, sysadmin이 인지 하지 못한 상태에서 허락된 호스트 중 하나라도 감염이 되면 추가 감염은 불가피함.
관련 CVE정보
- CVE-2016-5195(Dirty COW) : 커널 취약점으로 리눅스와 안드로이드 장치 대상 공격.
악성 코드가 읽기만 가능한 메모리에 쓰기권한을 획득할 수 있음.
- CVE-2016-5195(Dirty COW) PoC: https://github.com/scumjr/dirtycow-vdso
- CVE-2013-2094 : 리눅스 커널 취약점으로 로컬 유저가 시스템 권한을 획득 할 수 있음
(http://timetobleed.com/a-closer-look-at-a-recent-privilege-escalation-bug-in-linux-cve-2013-2094/)
- CVE-2013-2094 PoC : https://github.com/realtalk/cve-2013-2094
영향성
권한상승 취약점(CVE-2016-5195(Dirty COW)와 CVE-2013-2094)중 하나를 이용하여 root권한을 획득 하여야 추가 행위가 이루어 짐
해당 취약점의 경우 Linux 4.8. 이상의 버전을 사용할 경우 해결됨
참고자료
Linux.BtcMine.174 Hash정보 : https://github.com/DoctorWebLtd/malware-iocs/tree/master/Linux.BtcMine.174
Dr.WEB 분석 원문: https://vms.drweb.com/virus/?i=17645163
출처: https://www.zdnet.com/article/new-linux-crypto-miner-steals-your-root-password-and-disables-your-antivirus/#ftag=RSSbaffb68
'Incident Report' 카테고리의 다른 글
| [2018.11.29] 유출된 미국국가안보국(NSA) 해킹 툴, 수천 대의 컴퓨터를 하이재킹 하는데 사용 되고 있음(CVE-2017-0144,7494) (0) | 2019.03.13 |
|---|---|
| [2018.11.28] 최근 미국우체국(USPS), Amazon 데이터 유출은 API 보안 허점과 연관 (0) | 2019.03.13 |
| [2018.11.22] 아마존 사용자 일부의 이름, 이메일 주소 노출 (0) | 2019.03.13 |
| [2018.11.15] Recorded Future, 중국 해커그룹, 영국엔지니어 회사를 목표 공격에 대한 보고서 발표 (0) | 2019.03.12 |
| [2018.11.14] 나이지리아 ISP, Google 데이터 센터 트래픽 하이재킹 (0) | 2019.03.12 |