Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보전 세계 4만대 장치에 감염된 Operation Prowli
작성일 2018-06-12 조회 280

(https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/)

 

 


GuardiCore 보안 팀이 발견한 Prowli 그룹은 40,000 가지가 넘는 감염된 웹 서버, 모뎀 및 기타 IoT 장치로 구성된 거대한 봇넷 (botnet)을 구축했으며, 이들은 cryptocurrency 마이닝과 악의적인 사이트로 사용자를 리디렉션하기 위해 사용했습니다.


Prowli 봇넷은 취약성과 자격 증명에 의한 다양한 공격을 통해 장치를 감염시키고 인계받는 다양한 작업을 수행합니다.  GuardiCore 보안 팀은 공격자가 인터넷에 다른 서비스를 제공하는 IP 주소와 도메인을 가진 많은 피해자 컴퓨터를 저장하고있는 것을 발견했습니다. 

 

서비스는 모두 원격 사전 인증 공격에 취약하거나 공격자가 내부로 들어올 수있게 허용합니다. 대상 서비스 목록에는 Drupal CMS 웹 사이트, WordPress 사이트, DSL 모뎀, 개방형 SSH 포트가있는 서버, 취약한 IoT 장치, HP Data Protector 소프트웨어를 노출하는 서버 등이 포함됩니다.

 

 

대부분은 취약한 SSH 자격증명을 사용함으로써 공격에 이용 (https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/)

 

 

최근 몇 달 동안 Prowli 그룹에 감염된 것으로 알려진 서버 및 장치 유형은 다음과 같습니다.

 

 (1) WordPress 사이트 (여러 악용 및 관리자 패널의 무차별 공격을 통한 감염) 
 (2) Joomla! (CVE-2018-7482 취약점을 이용한 감염 ) 
 (3) Several models of DSL modems (알려진 취약점을 이용한 공격)
 (4) Servers running HP Data Protector (CVE-2014-2623을 이용한 공격)
 (5) Drupal, PhpMyAdmin installations, NFS boxes, and servers with exposed SMB ports (brute-force 공격을 통한 감염)

 

 


피해 산업군 (https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/)

 

 

Linux/Bot.Prowli 악성코드는 SSH 포트를 노출하는 장치의 사용자 이름과 암호를 추측하려는 SSH 스캐너 모듈을 운영해 감염을 확산합니다.
감염된 디바이스에는 Monero miner와 r2r2 worm를 다운로드 하고 실행시킵니다.

 

해당 악성 Bot은 다양한 플랫폼을 감염시키는데

 


C&C 컨츠톨 패널 (https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/)

 

 

CMS 플랫폼은 WSO Web Shell 백도어에 감염이 가능하고, 감염된 웹사이트는 접속한 사용자를  traffic distribution system (TDS)로 리다이렉트 시켜 악성행위를 실시합니다.

 


리디렉터 스크립트 난독화 (https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/)

 

 

 

Prowli 악성코드 공격 프로세스 (https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/)

 

 

 

 

IoC

(https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/)

 

 

 


WINS Sniper 제품군 대응 방안

Sniper-IPS

[4351] Script/JS.Downloader.Prowli.5092509 
[4352] Linux/Bot.Prowli.Connection

Sniper-UTM

[838861500] Script/JS.Downloader.Prowli.5092509
[838861501] Linux/Bot.Prowli.Connection

Sniper-APTX

[3601] Script/JS.Downloader.Prowli.5092509
[3602] Linux/Bot.Prowli.Connection

 

 

 

 

참조
https://blog.vdoo.com/2018/06/06/vdoo-has-found-major-vulnerabilities-in-foscam-cameras/

첨부파일 첨부파일이 없습니다.
태그 Prowli