EternalBlue Exploit을 이용한 Adylkuzz mining 이슈

최근 EternalBlue Exploit을 이용하여 Adylkuzz Mining 봇넷이 퍼져 나가고있습니다.
이 멀웨어는 대상 컴퓨터를 악용하여 자체적으로 전파하는 (MS17-010) 취약점을 악용 할 수 있는
기능이 없습니다.

그러나 공격자는 타사 도구를 사용하여 대상 컴퓨터 IP/포트를 검색하여 대상 시스템에 Adylkuzz

멀웨어를 설치하는 취약점을 악용합니다.

 

 

오늘은 EternalBlue Exploit을 이용한 Adylkuzz Mining 봇넷 관련 이슈에 대해 포스팅

하도록 하겠습니다.

 

감염 경로는 다음과 같습니다.
이 멀웨어는 다음의 파일을 시스템에 추가합니다.

• Malware.exe
- %windir%\Fonts\wuauser.exe

 

트로이 목마는 다음의 서비스를 Windows에 추가하여 재부팅시 지속성을 보장합니다.

 

 

컴퓨터가 손상되면 멀웨어는 자체 실행 파일을 %windir%\Fonts\폴더에 복사하고

Adylkuzz Mining을 다운로드합니다.

악성 코드가 악용되면 대상 컴퓨터에서 다음 명령을 실행하여 WannaCry Ransomware와 같은 유사한 위협에 의한 추가 감염을 피하기 위해 모든 SMB 통신을 중지합니다.

 

다음과 같은 명령을 실행하는 멀웨어는 다음과 같이 대상 시스템의 일부 응용프로그램을 종료합니다.

멀웨어는 아래와 같이 API표를 삽입합니다.

멀웨어는 다음과 같이 대상 컴퓨터에 cryptocurrency miner Adylkuzz 를 설치합니다.

 

 

명령 및 제어 (C&C) 트래픽

 

악성코드 TCP 및 UDP 포트를 통해 C&C 통신을 수행합니다.
멀웨어는 시스템 UID를 다음 형식을 통해 자체 C&C 서버에 보냅니다.
여기에 몇가지 예를 보여드리겠습니다.

 

해당 취약점에 대해 지난 WannaCry Ransomware의 경우처럼 누출된 NSA 해킹 도구를 사용하고 Microsoft Windows 네트워킹에서 패치 된 취약점을 활용합니다.

따라서 해당 취약점에 대한 보안 대책으로 사용중인 Microsoft 소프트웨어를 최신버전으로 유지하는 것이 중요합니다.

 

오늘은 EternalBlue를 이용한 Adylkuzz Mining 봇넷에 대한 내용으로 포스팅을 하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.