다시 기승을 부리기 시작한 Mexals 캠페인 조사

이번 캠페인의 경우 난독화가 강화되고, 파일 이름을 은닉하는 기술이 더 교묘해졌으며, 이전 버전에는 없었던 맞춤형 채굴 풀 프록시가 생겼다는 점이 확인되었습니다. 이 공격 사슬은 SSH 인증정보 무차별 대입으로 시작됩니다. 그런 다음, 난독화된 긴 페이로드 사슬이 등장하면서 최종적으로 XMRig 암호화폐 채굴기를 배포합니다. 배포된 페이로드 중 하나는 자동 전파가 가능한 워머블(Wormable) 모듈로, 이번 재유행에서 활발히 사용된 것으로 보입니다.

그리고 Mexals의 자체 공격 서버는 네덜란드에 소재한 VPS에서 호스팅되며, 전 세계에서 피해자가 속출할 것으로 우려됩니다. 공격자들은 XMR 코인으로 10,000달러(USD) 이상을 채굴한 것으로 추정됩니다.

그림 2: 공격자들이 사용한 여러 페이로드에 대한 요약

glibc의 소스 코드를 사용하면 발생 가능한 진입점을 파악할 수 있습니다. 실제 주 함수는 rdi에 로드된 함수입니다. 이를 살펴보면 다음과 같은 매우 구체적인 오류 문자열을 찾을 수 있습니다. E: neither argv[0] nor $_ works.이는 웹에서 검색할 수 있는 문자열입니다. 이 문자열은 shc로 이어집니다. 안타깝게도 쉽게 사용할 수 있는 디컴파일러가 없는 상황입니다. 이를 리버스 엔지니어링하고 굉장히 번거로운 일인 암호 해독기를 만드는 작업 대신, 페이로드를 디버깅하고 1초 후에 실행을 일시 중지할 수 있습니다. 암호가 해독된 셸 스크립트는 멀웨어의 메모리에 상주하는데, 우리는 이 스크립트를 덤프하고 분석할 수 있습니다.

각각의 페이로드는 다음 링크를 설정하는 다양한 방법을 사용해 비교적 쉽게 서로 연결됩니다. 이를테면 경쟁사 채굴기 또는 CPU를 많이 사용하는 프로세스를 중단시키거나, Bash 내역을 지우거나, 지속 공격을 설치한 후 다음 페이로드를 다운로드하고 실행하는 방법입니다(그림 5).

첫 번째 웹훅은 toDiscord라는 함수에서 호출되며, 표적 머신에서 실행되는 다양한 프로파일링 명령의 결과를 대체합니다. 그 다음 두 가지 웹훅은 toAPIlogs 및 toDisc라는 함수에서 호출됩니다. 둘 다 동일한 정보, 즉 표적의 IP와 이를 인증할 수 있는 사용자 및 비밀번호를 대체합니다.

마지막으로, 피해자가 OpenWrt를 실행 중이었을 경우 또 다른 함수인 toMirai가 호출되며, 동일한 정보를 다른 웹훅에 전송합니다. 여기에서 몇 가지 중복성이 나타납니다. 이는 공격자가 여러 지표를 더 쉽게 추적하기 위한 것이거나, 공격 캠페인의 여러 요소와 구분하는 역할을 하는 것일 수도 있습니다(Mirai를 봇넷 또는 IAB로 사용하는 경우 또는 Mirai를 일반 용도인 암호화폐 채굴기로 사용하는 경우).

컴파일된 Bash 스크립트에 '불과'하지만, payload 가 흥미로운 이유는 그 안에 주석과 진행 메시지가 가득하므로 멀웨어 작업자의 사고 과정을 알 수 있기 때문입니다.

주석과 진행 메시지가 루마니아어로 작성되어 있다는 점은 공격자들이 루마니아인이라는 가정을 더욱 강하게 뒷받침합니다(멀웨어의 명령 및 제어 또는 다운로드 도메인을 직역하면 '해커의 아카이브'로 번역됨).

또한 이 스크립트는 알려진 다른 암호화폐 채굴기의 존재 여부를 확인하고, 해당 프로세스를 중단시킵니다. dhpcd 및 ksmdx가 이에 속합니다. 이는 공격자가 자신이 활동하는 생태계를 파악하고 있으며, 이들이 암호화폐 채굴 세계에서 단순히 주먹구구식 수법을 사용하는 게 아니란 점을 보여줍니다.

이 스크립트는 경쟁사 및 CPU를 많이 사용하는 다른 프로세스를 모두 중단시킨 다음, 머신에 있는 CPU 코어 수를 확인합니다. CPU 코어 수가 4개 미만이면 History 및 Update 를 설치하고, 이에 대한 cron 작업도 설치합니다. (두 실행 파일은 aliases 페이로드를 다운로드하는 역할을 하며 피해자 머신의 재부팅 시 실행되도록 예약됩니다.) 코어가 4개 이상인 경우, 스크립트가 .diicot도 다운로드하고 실행합니다. 이는 XMRig 암호화폐 채굴기를 다운로드하고 실행하는 컴파일된 Bash 스크립트입니다.

마지막으로, CPU 코어가 8개 이상이면 스크립트가 LAN 스프레더인 retea를 다운로드하고 실행합니다.

LAN 스프레더 모듈은 공격자의 체인에 새로운 기능을 제공합니다. 이는 또 다른 컴파일된 셸 스크립트로, 시스템에 설정된 모든 사용자를 추출하고usrs라는 파일을 생성합니다. 이 파일은 SSH 사전 공격에 사용되며 추출된 사용자 및 하드코딩된 기본 비밀번호 목록을 사용해 채워집니다. 그런 다음, LAN 네트워크에서 네트워크 스캐너를 다운로드하고 실행합니다. 이렇게 하면 열린 SSH 포트가 있는 머신이 탐지되고 아웃풋이 파일에 작성됩니다. 그 다음에는 Network를 다운로드하고 실행하는데, 이는 기능이 더 적은 aliases의 작은 버전입니다. 악성 페이로드를 설치하거나 Discord 웹훅에 보고하는 대신, 유출된 머신의 아웃풋을 파일에 저장합니다. 공격자는 나중에 이 파일을 수거할 수 있습니다.

공격자들은 자가 전파가 가능한 페이로드를 갖고 있으므로, Akamai의 위협 센서에 포착된 소스 IP 중 어떤 게 공격자 인프라이고, 어떤 게 피해자 인프라인지 구별하기 어렵습니다. 이 섹션에서는 공격자의 인프라를 분석하고 실제 피해자를 찾아보겠습니다. 

저희가 탐지한 모든 공격 IP(고유 IP 주소 50개)를 추출하고, 이러한 IP가 관측된 전 세계의 지리적 위치에 해당 IP를 매핑했습니다. 공격 IP 외에도, Akamai의 일부 고객사에서 감염 증거가 발견되었으므로 해당 고객사도 피해자 목록에 포함했습니다. 피해자 및 인프라의 지리적 분포가 그림 7에 나와 있습니다.

그림 9: 피해자뿐만 아니라 공격자의 인프라로 추정되는 주요 공격 IP.

저희는 이 블로그 게시물을 공개하기에 앞서, 공격의 영향을 받은 Akamai 고객사에 연락해 공격에 대한 정보와 각각의 공격 IP 주소에 등록된 악용된 이메일을 알려드렸습니다.

요약

공격자들이 사용한 페이로드 사슬은 매우 인상적이며, 이들의 수법이 상당히 정교하다는 걸 알 수 있습니다. 일반적으로 이렇게 긴 페이로드 사슬은 흔하지 않으며, 공격자가 수많은 페이로드를 사용하기로 선택한 데에는 몇 가지 이유가 있을 겁니다.

• 난독화 - 시스템 내에 움직이는 요소가 많을수록 분석 및 추적이 어렵습니다. 바이너리가 난독화되었다는 사실은 이러한 가설을 더 확고히 뒷받침합니다.

• 위협 그룹의 배후에 여러 인물이 있습니다. 캠페인의 배후에 있는 공격자에 대한 실제 정보는 알 수 없지만, 같은 스크립트의 여러 샘플에서 눈에 띄는 코드 차이를 발견했습니다. 이러한 차이를 고려하면 서로 다른 사람이 스크립트를 개발했다고 볼 수밖에 없습니다.

• 이 멀웨어 캠페인은 시간이 지날수록 더 강력해지도록 설계되었습니다. 새로운 기능 및 강화된 난독화 기능이 추가되었을 뿐만 아니라, 향후 사용을 위한 토대로 만들어진 코드에서 중복성이 나타난다는 점은 이러한 사실을 뒷받침하는 증거입니다.

이전 공격보다 더 개선된 기능과 추가 기능

• UPX 압축 및 UPX 헤더 제거.

• 자동 업데이트 기능이 페이로드 내부에서 외부 스크립트(History 및 Update로 이동되었습니다.

• 파일 이름을 은닉하는 기술이 더 교묘해졌습니다(Chrome, Opera - 브라우저 모방)

• Discord를 통한 추가적인 멀웨어 보고 기능

• OpenWRT 에 특화된 행동 (향후 더 많이 출현할 가능성이 높음)

• 퍼블릭 풀 대신 맞춤형 채굴 풀 프록시 사용

보안팀 직원의 아카이브

이 멀웨어는 자체적으로 배포할 수 있는 새로운 기술이나 정교한 기술은 없습니다. 단순하게 SSH에 대한 사전 공격을 사용하는 방식입니다. 따라서 인터넷에서 SSH에 개방된 머신만 위험에 노출됩니다. 네트워크 경계에서 SSH를 차단하거나, VPN으로 SSH를 옮기면 이러한 공격이 야기하는 위험을 크게 줄일 수 있습니다.

그 외에도, 기본값이 아닌 인증정보나 복잡한 비밀번호를 사용하면 이 멀웨어에 사용된 것과 같은 사전 공격의 위험이 크게 줄어듭니다. 또한 SSH 키는 비밀번호보다 훨씬 더 안전하므로(추측이 어려우며 '암호'는 연결을 통해 전송되지 않음), SSH 키를 인증에 사용하는 것이 좋습니다.

마지막으로, LAN 스프레더 모듈도 고려해야 합니다. 이 모듈은 측면 이동에도 SSH를 사용하기 때문에 네트워크를 세그멘테이션하면 위험을 안전하게 방어할 수 있습니다. 인터넷에 개방된 서버를 DMZ(비무장지대)라고 가정한다면 DMZ에서 들어오는 SSH 트래픽(그리고 RDP, MS-RPC 또는 WinRM처럼 측면 이동에 사용할 수 있는 기타 트래픽)이 나머지 네트워크에 접근하지 못하도록 차단하는 게 당연한 순리일 겁니다. 어떠한 이유로 인해 이러한 서버가 내부 네트워크에 대한 SSH 접속 권한을 가져야 할 경우(예: 서버가 점프박스 역할을 할 경우), 해당 서버를 DMZ 밖으로 이동하고 VPN을 켠 상태로 작업을 진행하는 게 바람직한 방법입니다. 서버를 인터넷에 노출시키지 않고, 공격자가 서버에서 내부로 이동할 수 있는 길만 차단해도 공격 반경 및 전파 경로가 줄어듭니다.

Akamai는 이러한 악성 캠페인에 감염되었는지 탐지하는 데 도움이 되는 툴이 있는 GitHub 저장소 를 만들었습니다. 이곳에서 Bash 스크립트, Akamai Guardicore Segmentation 고객이 사용할 수 있는 IOC 및 OSQuery 쿼리의 전체 목록을 참조할 수 있습니다. 이 게시물의 마지막 부분에서도 탐지 스크립트와 IOC의 일부 목록 을 확인할 수 있습니다.

이러한 툴 외에도, 이러한 경우에 적용할 수 있는 암호화폐 채굴기를 탐지하는 일반적인 방법(예: 대상 포트를 확인하는 방법을 통해 채굴 풀로 향하는 발신 트래픽 탐지)을 권장합니다. 채굴 풀의 기본 포트는 매우 고유한 경우가 있기 때문에 이러한 포트를 주의 깊게 살펴보면 도움이 될 수 있습니다. 예를 들면 다음과 같습니다.

• TCP 포트 4242가 기본 포트인 경우: 이러한 풀 구현

• TCP 포트 3333, 5555, 7777, 9000이 기본 포트인 경우: nodejs 풀 구현

물론 채굴기는 HTTP 및 HTTPS를 통해 자신의 풀과 통신할 수도 있습니다. 이 경우 탐지가 훨씬 더 어려워집니다. 그래도 이러한 포트는 살펴볼 가치가 있습니다.

감염 징후

다음은 IOC의 일부 목록입니다. 전체 목록은 GitHub 저장소에서 소개했습니다.