마이크로 소프트, 새로운 Dexphot 악성 코드가 80,000 대 이상의 컴퓨터를 감염시켰다
Dexphot의 주요 목적은 암호 화폐를 자동으로 채굴하고 공격자에게 수익을 창출하는 것이 었습니다.
Microsoft 보안 엔지니어는 2018 년 10 월부터 Windows 컴퓨터를 감염시켜 암호 화폐를 채굴하고 공격자의 수익을 창출하기 위해 Windows 컴퓨터를 감염시키는 새로운 맬웨어 변종에 대해 자세히 설명했습니다.
Dexphot이라는 이름의이 멀웨어는 올해 6 월 중순에 봇넷이 거의 80,000 대의 감염된 컴퓨터에 도달했을 때 최고점에 도달했습니다.
그 이후로 Microsoft는 탐지 기능을 개선하고 공격을 중지하기위한 대책을 마련했다고 주장하면서 일일 감염 수는 천천히 감소하고 있습니다.
일상적인 작업을위한 복잡한 멀웨어
그러나 Doxphot의 최종 목표는 헛된 것이었지만, modus operandi의 방법과 기술은 Microsoft가 알아 차린 높은 수준의 복잡성으로 인해 두드러졌습니다.
마이크로 소프트 디펜더 ATP 리서치 팀의 악성 코드 분석가 인 하젤 킴 (Hazel Kim)은 사용자 데이터를 훔치는 것이 아니라 cryptocurrency를 마이닝하는 일반적인 작업을 언급하면서 "Dexphot은 주류 미디어의 주목을받는 공격의 유형이 아닙니다"라고 말했습니다.
김씨는 "이번에는 활성화 된 수많은 악성 코드 캠페인 중 하나입니다. 사이버 범죄 계에서는 매우 일반적으로 목표입니다. 컴퓨터 자원을 자동으로 훔치고 공격자의 수익을 창출하는 코인 채굴자를 설치하는 것"이라고 말했습니다.
"아직 Dexphot은 일상적인 위협조차도 보호 수준을 피하려는 의도를 가지고 있으며, 이익 전망을 위해 레이더 아래로 날아 가려는 동기의 복잡성 수준과 진화 속도를 보여줍니다."
Kim은 오늘 발표 예정인 ZDNet과 공유 된 보고서에서 Dlesshot의 고급 기술 (예 : 파일없는 실행 , 다형성 기술 및 스마트 및 중복 부팅 지속성 메커니즘 사용)에 대해 자세히 설명 합니다.
감염 과정
Microsoft에 따르면 Dexphot은 보안 연구원들이 이미 다른 맬웨어에 의해 감염된 시스템에 드롭되는 맬웨어 유형 인 2 단계 페이로드라고합니다.
이 경우, Dexphot 이전에 감염된 컴퓨터에 낙하 된 ICLoader 사용자의 지식없이, 일반적으로 측면에 설치된 소프트웨어 번들의 일부로의 악성 코드 변형, 또는 사용자가 다운로드 할 때 금 또는 소프트웨어를 불법 복제 설치된.
이러한 ICLoader 감염 시스템 중 일부에서 ICLoader 갱은 Dexphot 설치 프로그램을 다운로드하여 실행합니다.
마이크로 소프트는이 설치 프로그램이 디스크에 쓰여지는 Dexphot 악성 프로그램의 유일한 부분 일 뿐이지 만 단기간 동안 만있을 것이라고 말합니다. 다른 모든 Dexphot 파일 또는 작업은 파일없는 실행이라는 기술을 사용하여 컴퓨터의 메모리 내에서만 실행되므로 시스템에 맬웨어가 있으면 기존의 서명 기반 바이러스 백신 솔루션에서는 볼 수 없습니다.
또한 Dexphot은 자체 실행 파일 및 프로세스를 실행하는 대신 합법적 인 Windows 프로세스를 사용하여 악의적 인 코드를 실행하기 위해 "토지 생활"(또는 LOLbins)이라는 기술을 사용합니다.
예를 들어, Microsoft는 Dexphot이 정기적으로 Windows 시스템에 사전 설치된 모든 합법적 인 앱인 msiexec.exe, unzip.exe, rundll32.exe, schtasks.exe 및 powershell.exe를 남용한다고 말합니다. 이러한 프로세스를 사용하여 악성 코드를 시작하고 실행함으로써 Dexphot은 이러한 Windows 유틸리티를 사용하여 작업을 수행하는 다른 로컬 앱과 효과적으로 구분할 수 없게되었습니다.
그러나 Dexphot 운영자는 여기서 멈추지 않았습니다. 최근 바이러스 백신 제품은 클라우드 기반 시스템을 사용하여 악성 파일없는 실행 및 LOLbin 남용의 패턴을 인벤토리 화하고 중앙 집중화했기 때문에 다형성 (polymorphism)이라는 기술을 사용했습니다.
이 기술은 아티팩트를 지속적으로 변경하는 맬웨어를 말합니다. Microsoft에 따르면 Dexphot 운영자는 감염 프로세스에 사용 된 파일 이름과 URL을 20-30 분마다 한 번씩 변경했습니다.
바이러스 백신 공급 업체가 Dexphot의 감염 체인에서 패턴을 감지하면 해당 패턴이 변경되어 Dexphot 갱이 사이버 보안 제품보다 한 발 앞서 나갈 수 있습니다.
다층 지속성 메커니즘
그러나 멀웨어는 영원히 감지되지 않으며 이러한 경우에도 Dexphot 갱은 미리 계획했습니다.
마이크로 소프트는 Dexphot은 모든 악성 프로그램의 아티팩트를 치료하지 않은 시스템을 재감염시키는 영리한 지속 메커니즘을 제공했다고 밝혔다.
첫 번째로이 악성 프로그램은 프로세스 공동화라는 기술을 사용하여 두 가지 합법적 인 프로세스 (svchost.exe 및 nslookup.exe)를 시작하고 콘텐츠를 속이는 악성 코드를 실행했습니다.
합법적 인 Windows 프로세스로 위장한이 두 개의 Dexphot 구성 요소는 모든 맬웨어 구성 요소가 작동하고 실행 중인지 확인하고 그 중 하나가 중지되면 다시 설치합니다. 두 개의 "모니터링"프로세스가 있었기 때문에 시스템 관리자 나 바이러스 백신 소프트웨어가 하나를 제거하더라도 두 번째는 백업 역할을하고 나중에 시스템을 다시 감염시킵니다.
둘째, 비상 안전 장치로도 사용되는 Dexphot은 일련의 예약 된 작업을 사용하여 재부팅 할 때마다 또는 90 분 또는 110 분마다 한 번씩 피해자가 파일없이 재감염되도록했습니다.
작업은 정기적으로 실행되도록 예약되었으므로 Dexphot 갱이 감염된 모든 시스템에 업데이트를 제공하는 방법으로도 사용되었습니다.
Microsoft에 따르면 이러한 작업 중 하나가 실행될 때마다 공격자의 서버에서 파일을 다운로드하여 공격자가 모든 Dexphot 감염 호스트에 대한 업데이트 된 지침으로이 파일을 수정하고 바이러스 백신 공급 업체가 배포 된 후 몇 시간 내에 전체 봇넷을 업데이트 할 수 있습니다 모든 대책.
또한 Dexphot 갱은 정기적으로 작업 이름을 변경하면서 다형성이 이러한 작업에도 사용되었다고 말합니다. 이 간단한 트릭을 통해 악성 프로그램은 예약 된 작업을 차단 한 차단 목록을 이름별로 숨길 수있었습니다.
Microsoft의 Kim이 위에서 지적했듯이 이러한 모든 기술은 매우 복잡합니다. 일반적으로 이러한 유형의 중복성은 고급 정부 지원 해킹 장치에서 개발 한 맬웨어의 감염 체인에서 발견 될 것으로 예상됩니다.
그러나 지난 2 년 동안 이러한 기술은 사이버 범죄 조직으로 천천히 넘어 갔으며 이제는 Dexphot, Astaroth 와 같은 infostealers 또는 click- Nodersok과 같은 사기 행위 .