AhnLab Security Emergency response Center(ASEC)은 침해당한 시스템에서 공격자가 시스템의 리소스를 이용하여 가상 화폐를 채굴하는 코인마이너를 설치하는 과정을 확인하였다. 시스템의 리소스를 이용하여 가상화폐를 채굴하는 코인마이너의 설치 과정을 안랩 EDR 제품을 통해 탐지하는 내용을 소개한다.
그림 1. 공격자 명령어 수행
그림 1은 침해당한 시스템에서 공격자가 사용한 명령어를 동일하게 사용했다. CMD 프로세스로 파워쉘 명령어를 통해 파워쉘 스크립트를 실행하는 방법이 탐지된 내용을 확인할 수 있다. 직접적인 파일 다운로드가 아닌 스크립트만 문자열로 받아 실행된다.
그림 2. 파워쉘 악성 행위
실행된 파워쉘 스크립트는 base64로 인코딩된 데이터를 복호하여 TEMP 경로에 “nodejssetup-js.exe” 파일명으로 생성 및 실행한다.
그림 3. 악성코드 주요 행위
실행된 악성코드는 그림 3, 그림 4 와 같다. 주요 기능으로는 유포지에서 DES로 암호화된 데이터 파일을 받아 복호화 하여 정상 프로세스인 MSBuild.exe에 인젝션(Process Hollowing) 하는 기능이다.
그림 4. 악성코드 기능
그림 5. 인젝션된 msbuild 메모리
인젝션(Process Hollowing)된 MSBuild.exe 는 악성 행위를 수행한다. 그림 5, 그림 6, 그림 7, 그림 8 에서 악성 행위를 확인할 수 있다. 그림 5는 인젝션 된 MSBuild.exe 에서 메모리 값을 확인한 내용이다. 해당 값들은 그림 6, 그림 7, 그림 8 의 안랩 EDR 탐지 화면에서 찾아볼 수 있다. 추가 악성코드를 받아오며(그림 6) 정상 프로세스인 AddInProcess.exe 에 인젝션되어 실행한다(그림 7). 그림 8 의 실행할때 커멘드 라인을 보면 코인 마이너의 실행방식임을 확인할 수 있다.
그림 6. MSBuild 악성 행위1
그림 7. MSBuild 악성 행위2
그림 8. MSBuild 악성 행위3
그림 9. AddInProcess.exe 마이너 행위
마지막으로 인젝션(Process Hollowing)된 AddInProcess.exe 에서 CPU 점유율이 일정수치 이상 발생하는 내용을 확인할 수 있다.
이처럼 침해당한 시스템에서 공격자가 시스템의 리소스를 이용하여 가상 화폐를 채굴하는 코인마이너를 설치하는 과정은 다수의 프로세스를 이용하지만, 사용된 악성코드는 “nodejssetup-js.exe” 하나 뿐이다. 나머지 모든 스크립트와 인젝션(Process Hollowing) 과정에서 사용된 악성 PE도 메모리 상에서만 존재하는 방식이다. 이와 같은 방식의 유포를 탐지하기 위해서는 엔드 포인트 안티 바이러스인 V3 행위탐지를 활성화 해야하며, 감염 되더라도 EDR 제품을 통해 상세한 내용 확인을 통한 조치가 필요하다.
[행위 진단]
Execution/MDP.Powershell.M2514
Connection/EDR.Behavior.M2650
Execution/EDR.Malware.M10459
Execution/MDP.Powershell.M1185
Injection/MDP.Hollowing.M10428
Execution/EDR.Powershell.M11170
[IOC]
1c5d05def6e3baabe8da94a3d275c5e5 Dropper/PowerShell.Generic
6efe15382531ae994f2f220046421b1d CoinMiner/Win.XMRig(2023.04.16.01)
hxxp://79.137.196[.]27/bypass.ps1
hxxps://files.catbox[.]moe/kwfxr7.dll
hxxps://files.catbox[.]moe/k541xr.dll
hxxp://185.174.136[.]91/name.dll
행위 정보 탐지 및 분석을 통한 엔드포인트 가시성을 제공하고 위협을 능동적으로 추적하는 AhnLab EDR에 대한 자세한 정보는 안랩닷컴에서 확인이 가능하다.
Categories:안랩 탐지