쉘 스크립트 컴파일러(shc)를 사용하여 개발된 Linux 멀웨어가 암호화폐 채굴기를 배포하는 것을 발견했다.
(코인마이너)
[SHC]
- shc는 Bash 쉘 스크립트를 암호화하고 인코딩하여 실행파일로 만들어주는 역할을 한다.
- shc를 이용하면 스크립트를 다른 사용자가 읽을 수 없기에 수정도 불가능하다.
- shc 통해 ELF 파일 생성함으로써 악의적인 쉘 명령어가 검사되지 않도록 보호하고, 실행 파일이 RC4 알고리즘을 사용하여 암호화되므로 Anti-virus SW의 탐지를 우회할 수 있다.
ASEC은 부적절하게 관리되는 리눅스 SSH 서버에 대한 사전 공격을 통해 인증에 성공한 뒤, 타겟 시스템에 각종 멀웨어가 설치된 것으로 추정된다고 밝혔다.
- SHC 다운로드 멀웨어, DDoS IRC 봇이 함꼐 설치됨
[SHC 멀웨어]
- 외부에서 파일을 다운로드해서 실행하는 형태
- 현재 XMRig 코인 마이너 설치하는 것으로 확인
- 추가적인 인자를 필요로 하지 않는 간단한 형태로 구성.
[XMRig 코인마이너]
- SHC가 실행하는 run 파일의 스크립트를 보면, XMRig를 실행시키는 것을 확인 가능
[DDoS ORC Bot]
- Perl 언어로 개발
- IRC 프로토콜을 사용하여 C2서버와 통신
- IRC 서버(C2)에 접속 가능하나, 채널에 입장하기 위해서는 채널 이름, 비밀번호, 사용자 닉네임, 호스트주소 등의 조건이 필요함
- 진짜 공격자이닞 확인하는 과정으로 추측
- TCP Flood, UDP Flood, HTTP Flood와 같은 DDoS 공격 뿐만아니라 명령 실행, 리버스쉘, 포트스캐닝, 로그 제거 등 다양한 기능 지원
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] LG 유플러스 개인정보 유출 사고, 18만명? 3000만건? (0) | 2023.01.11 |
|---|---|
| [보안이슈] CI/CD 개발론을 활용하는 해커들 (0) | 2023.01.10 |
| [보안이슈] 랜섬웨어 공격 타겟이 된 광산 회사, 일시적 공장 폐쇄 (0) | 2023.01.03 |
| [보안이슈] 랜섬웨어 그룹 록빗, 소아 전문 병원 공격을 사과하며 복호화 키 제공 (0) | 2023.01.02 |
| [보안이슈] Google Home 스마트 스피커 결함의 공격 프로세스/시나리오 (0) | 2022.12.30 |
