본문 바로가기

일상X사랑X돈/보안이슈

[보안이슈] Linux 타겟으로 하는 SHC 멀웨어, 코인 마이너 설치

쉘 스크립트 컴파일러(shc)를 사용하여 개발된 Linux 멀웨어가 암호화폐 채굴기를 배포하는 것을 발견했다. 

(코인마이너)

 

[SHC]

- shc는 Bash 쉘 스크립트를 암호화하고 인코딩하여 실행파일로 만들어주는 역할을 한다. 

- shc를 이용하면 스크립트를 다른 사용자가 읽을 수 없기에 수정도 불가능하다.

- shc 통해 ELF 파일 생성함으로써 악의적인 쉘 명령어가 검사되지 않도록 보호하고, 실행 파일이 RC4 알고리즘을 사용하여 암호화되므로 Anti-virus SW의 탐지를 우회할 수 있다.

ASEC은 부적절하게 관리되는 리눅스 SSH 서버에 대한 사전 공격을 통해 인증에 성공한 뒤, 타겟 시스템에 각종 멀웨어가 설치된 것으로 추정된다고 밝혔다.

- SHC 다운로드 멀웨어, DDoS IRC 봇이 함꼐 설치됨

[SHC 멀웨어]

- 외부에서 파일을 다운로드해서 실행하는 형태

- 현재 XMRig 코인 마이너 설치하는 것으로 확인

- 추가적인 인자를 필요로 하지 않는 간단한 형태로 구성.

출처: ASEC 블로그

 

[XMRig 코인마이너]

- SHC가 실행하는 run 파일의 스크립트를 보면, XMRig를 실행시키는 것을 확인 가능

 

[DDoS ORC Bot]

- Perl 언어로 개발

- IRC 프로토콜을 사용하여 C2서버와 통신

- IRC 서버(C2)에 접속 가능하나, 채널에 입장하기 위해서는 채널 이름, 비밀번호, 사용자 닉네임, 호스트주소 등의 조건이 필요함

- 진짜 공격자이닞 확인하는 과정으로 추측

- TCP Flood, UDP Flood, HTTP Flood와 같은 DDoS 공격 뿐만아니라 명령 실행, 리버스쉘, 포트스캐닝, 로그 제거 등 다양한 기능 지원

 

참고 링크 (TheHackerNews)

참고 링크 2 (Ahnlab ASEC Blog)