check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

최신 버전 NRSMiner 크립토마이너, 이터널블루를 익스플로잇

익스플로잇이 성공적으로 실행되면 DoublePlusar 백도어 설치...아시아에서 확산

hsk 기자 mkgil@dailysecu.com 2019년 01월 07일 월요일

coding-1841550_640.jpg
전문가들이 기존 NRSMiner의 업데이트와 새 버전이 유포를 위해 이터널블루(EternalBlue)를 익스플로잇한다는 것을 발견했다.

EternalBlue는 워너크라이 공격에서 DOUBLEPUL-SAR로 이슈가 되었던 NSA 익스플로잇으로, SMBv1 프로토콜을 타깃으로 하며 멀웨어 개발자 커뮤니티에서 널리 사용되어 왔다.

에프시큐어(F-Secure)가 발표한 분석은 “2018년 11월 중순부터 로컬 네트워크 내 취약한 시스템에 전파하기 위해 EternalBlue익스플로잇을 사용하는 최신 버전의 NRSMiner크립토마이너가 아시아에서 확산되고 있다. 감염된 시스템의 대부분은 베트남에서 발견되었다”고 설명했다.

새로운 버전의 NRSMiner는 새 모듈을 다운로드하고, 이전 버전에 설치된 파일과 서비스를 삭제함으로써 기존 감염을 업데이트한다. Wmassrv 서비스를 실행하는 NRSMiner 이전 버전에 감염된 기기들은 tecate.traduires.com에 연결되어 업데이트 모듈을 다운로드한다.

업데이트 모듈이 새 버전을 설치한 것으로 판단하면 스스로를 제거시키고, 그렇지 않으면 하드코딩된 URL 중 하나에서 멀웨어를 다운로드한다.

분석가는 “이전 버전의 소프트웨어를 제거하기 위해 최신 버전은 snmpstorsrv.dll 파일에서 문자열로 찾아 제거할 수 있는 서비스, 작업 및 파일 목록을 나타낸다. 이는 모든 이전 버전을 삭제하기 위함이며 목록은 MarsTraceDiagnotics.xml 파일에 있다”고 분석했다.

이 악성코드는 먼저 snmpstorsrv.dll로 snmpstorsrv라는 서비스를 설치하고 스스로를 제거한다. 해당 서비스는 데이터 유출 및 마이닝 등 여러 악성 활동을 수행하기 위한 여러 스레드를 만든다.

최신 NRSMiner 버전은 wininit.exe를 통해 익스플로잇과 유포를 처리한다. 압축 해제된 파일 중 하나는 svchost.exe로 명명되며, Eternalblue 2.2. 익스플로잇 실행파일이다.

Wininit.exe는 TCP 포트 445에서 다른 액세스 장치에 대한 로컬 네트워크를 검색하고, 취약한 시스템에서 EternalBlue익스플로잇을 실행한다. 익스플로잇이 성공적으로 실행되면 DoublePlusar 백도어가 설치된다. 악성코드는 XMRig모네로 CPU 마이너를 사용한다.IoC를 포함한 상세 정보는 에프시큐어가 발표한 보고서에 포함되어 있다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록