::::: 해커즈뉴스 / 해커몰 :::::

해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4

기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.

Donation bitcoin(기부용 비트코인 주소)

1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4

기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.

공지

1. MS 엣지 브라우저에서의 경고창은 '윈도우 디펜더'를 끄시면 됩니다.

'윈도우 디펜더 끄기'

2. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

3. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

4. 무고한 사이트들에 대한 공룡 기업 브라우저들의 무차별적인 '탐지 오류 횡포'가 사용자들의 정보 공유의 자유를 침해하고 있습니다. 이에 대응하여 이 기업들을 상대로 소송을 준비하고 있습니다.

▒ [해커대학 - hackers college] ▒

작성자: 해커즈뉴스

장르: 악성코드

2020/10/17(토)

복잡한 암호화폐 채굴 코드 레몬덕, 최근 활동량 급증

레몬덕, 2018년부터 활동 시작해 아시아 국가들 사이에서 피해 일으켜
최근 다시 활동량 많아져...다양한 침투 방법과 모듈 있어 유연성 높아

[보안뉴스 문가용 기자] 최근 레몬덕(Lemon Duck)이라는 암호화폐 채굴 봇넷의 활동량이 심상치 않게 증가했다고 시스코 탈로스(Cisco Talos) 팀의 보안 전문가들이 경고했다. 레몬덕은 피해자의 컴퓨팅 리소스를 활용해 모네로를 채굴하는 악성 소프트웨어다.

[이미지 = utoimage]

전문가들에 의하면 레몬덕은 현존하는 채굴 봇넷들 중 가장 복잡하게 구성된 것 중 하나라고 한다. 채굴 외에도 여러 가지 기능을 포함하고 있기 때문이다. 레몬덕은 2018년 12월 경부터 활동을 시작한 것으로 보이는데, 현재까지 아시아 국가들에서 주로 활동했다. 특히 이란, 이집트, 필리핀, 베트남, 인도에서 피해가 큰 것으로 나타났다.

이번에 시스코 탈로스 팀이 포착한 레몬덕 봇넷은 정부 기관 한 곳, 도소매 기업 한 곳, 기술 분야 기업 한 곳인 것으로 나타났다. 이 세 곳에서 발견된 레몬덕은 3월 후반부터 지속적으로 활동한 것으로 보인다. 그리고 파워셸 요소들로부터 로딩되는 모듈들을 포함하고 있었다. 이중에는 코로나 관련 피싱 메일을 보내 레몬덕을 확산시키는 기능을 가진 모듈도 있었다. 코로나가 사이버 공격자들에게 얼마나 좋은 재료로서 활용되고 있는지를 또 다시 보여주는 사례다.

레몬덕은 최소 12개의 감염 전략을 가지고 있다. 이는 그 어떤 멀웨어보다 많은 수다. SMB(서버 메시지 블록), 원격 데스크톱 프로토콜 비밀번호의 브루트포싱, 악성 첨부파일이 포함된 이메일, RDP 블루킵(BlueKeep) 취약점 익스플로잇(CVE-2019-0708), 레디스(Redis)라는 오픈소스의 취약점 익스플로잇, 얀 하둡(YARN Hadoop) 익스플로잇 등이 포함되어 있다.

최초 침투에 성공한 이후 공격자들은 파워셸 기반의 로딩 스크립트를 피해자의 시스템에 다운로드 시킨다. 이 때 bpu라는 함수를 활용해 윈도 디펜더의 실시간 탐지 기능을 꺼버리고, powershell.exe를 ‘스캐닝 제외 대상 프로세스’ 목록에 삽입한다. bpu는 로딩 스크립트가 관리자 권한을 가지고 실행되는지도 확인한다. 만약 그렇다면 페이로드가 추가로 다운로드 된다. 관리자 권한이 아니라면 기존 시스템 실행파일들을 활용해 다음 단계의 공격을 이어간다.

레몬덕의 주력 페이로드는 모듈 구성이다. 즉 필요에 따라 추가 기능들을 C&C 서버에서 불러와 실행할 수 있다는 뜻이다. 여기에는 피해자의 그래픽카드 정보를 추출해 보내는 모듈도 포함되어 있다. 만약 GTX, 엔비디아, 지포스, AMD, 라데온과 같은 GPU들이 발견되지 않는다면 CPU 기반의 채굴 스크립트를 다운로드 받아 실행시킨다. GPU가 발견된다면 GPU 기반 채굴 스크립트를 실행한다.

그 외에도 “꽤나 야심찬” 기능인 ‘유포 모듈’도 존재한다. 말 그대로 레임덕을 다른 시스템으로 옮기는 것으로, 약 1만 줄이 넘는 파이선 코드로 만들어졌으며, 인스톨러, 프로세스 삭제, 다른 채굴 봇넷 탐지 및 삭제 기능을 포함하고 있다. 이메일을 통해 스스로를 퍼트리는 모듈도 있다. 이 이메일은 코로나와 관련된 가짜 이메일을 자동으로 생성한다. 이 이메일에는 악성 첨부파일이 있다.

여태까지 잘 알려지지 않았지만 레몬덕에는 리눅스 시스템을 겨냥한 기능도 포함되어 있다고 한다. 리눅스 기반 호스트를 감염시킨 뒤에 발동되는 것으로, 배시 스크립트 두 개의 형태로 존재한다. 첫 번째 배시 스크립트는 감염시킨 시스템에 대한 정보를 수집하고 채굴 멀웨어인 XM리그(XMRig)의 리눅스 버전을 다운로드 받는다. 두 번째 배시 스크립트는 다른 암호화폐 채굴 멀웨어를 찾아 종료시킨다.

시스코 탈로스 팀은 “암호화폐 채굴 멀웨어는 랜섬웨어처럼 즉각적인 피해를 일으키지는 않아 눈에 덜 띄는 편이지만 장기적으로 각종 자원을 소모하여 더 큰 피해를 끼칠 수도 있다”고 경고한다. “장비가 최대한으로 가동되니 평소보다 느려지고 성능이 저하됩니다. 또한 그 과정에서 전기세나 통신비가 과도히 나갈 수도 있고, 장비 교체 시기도 빨라집니다. 피해 누적이 감당하기 힘들 정도가 될 수 있으며, 따라서 최대한 빨리 제거해야 하는 위협입니다.”

3줄 요약
1. 암호화폐 채굴 코드 레몬덕, 최근 활동량 급증.
2. 레몬덕은 각종 모듈을 포함하고 있어, 구성이 상당히 복잡하다는 특성 가지고 있음.
3. 암호화폐 채굴 코드의 즉각적 피해 규모는 얼마 되지 않지만 누적 피해는 큼.

번호	장르	제 목	작성일

6048	해킹	중국 해커들, ‘맥아피’ 백신 악용 해킹 시도	2020/10/19

6047	해킹	트위터, '해킹된 콘텐츠'도 공유 허용	2020/10/18

6046	악성코드	복잡한 암호화폐 채굴 코드 레몬덕, 최근 활동량 급증	2020/10/17

6045	해킹	초대형 정보 유출 사고! 인트코멕스의 민감 정보 1TB 새나갔다	2020/10/16

6044	해킹	이란 해커들, 코로나에서 회복하려는 전 세계 대학 기관과 학교 노려	2020/10/16

6043	해킹	유명 축구 게임 ‘피파 21’, 축구팬과 해커들이 같이 몰린다	2020/10/16

6042	취약점	해커, 취약점 정보 판매 활발…"월 1억원치 팔려"	2020/10/16

6041	해킹	인천인재육성재단, 해킹에 6년치 자료 날려…전산 전담 직원 등 보안 강화 시급	2020/10/16

6040	보안	해커, 인공지능 취약점 노려 해킹 시도	2020/10/16

6039	해킹	미국판 '동학개미' 로빈후드 2천여 계좌 해킹 공격	2020/10/16