새로운 Glupteba Malware Backtracks 비트 코인, C & C 서버 업데이트의 현금

광고 - 중반
광고 - 중반
광고 - 중반
광고 - 중반

Glupteba 악성 코드의 새로운 변종은 명령 및 제어 (C & C) 서버를 지속적으로 업데이트하기 위해 비트 코인 트랜잭션에 투자하고 있습니다.

2011에서 발견 된 Glupteba Trojan은 여러 익스플로잇 킷 공격에 사용되었습니다. 이제 트렌드 마이크로는 CVE-2018-14847 취약점을 통해 민감한 데이터를위한 브라우저 스틸러와 MikroTik 라우터를위한 일상적인 익스플로 터를 포함하는 새로운 변종을 발견했습니다. 이 버전에는 C & C 서버 업데이트에 대한 고유 한 접근 방식 인 비트 코인 트랜잭션도 포함되어 있습니다.

블록 체인을 사용하여 C & C 서버 업데이트

C & C 서버에 대한 링크를 끊는 것은 멀웨어 감염의 영향을 완화하는 효과적인 방법입니다. 악성 코드 스트레인이 데이터 대상과 연결할 수없는 경우 종종 작업을 일시 중단하거나 비활성 상태로 만듭니다. 그러나 The Next Web에서 언급했듯이 최신 Glupteba 맬웨어는 블록 체인을 활용하여 지속적인 연결에 새로운 접근 방식을 취합니다.

먼저, 공격자는 Electrum 비트 코인 지갑을 사용하여 소규모 거래를 완료합니다. 이러한 거래에는 암호화 된 C & C 도메인 정보가 포함 된 OP_RETURN 데이터가 포함됩니다. 손상된 장치에서 Glupteba가 활성화되면 하드 코딩 된 ScriptHash 문자열을 사용하여이 반환 데이터를 찾아 해독합니다. 이 기술을 통해 사이버 범죄자들은 ​​일반적인 보안 조치를 회피 할 수 있습니다. 서버 링크가 끊어지면 공격자는 단순히 다른 비트 코인 트랜잭션을 수행하여 새로운 C & C 주소로 맬웨어를 제공합니다.

다양한 악성 기능

Glupteba 변종은 종종 익스플로잇 키트의 일부로 발견되었지만 Bleeping Computer는 최신 버전은 악성 행위자가 파일을 다운로드 및 실행하고 스크린 샷을 찍고 스크린 샷을 찍을 수있는 여러 맬웨어 변종으로 스포이드 다운로드 및 홍수 대상을 강제 실행하기 위해 악성 광고에 의존한다고 지적했습니다. 라우터와 감염된 장치를 XMR 마이닝 머신으로 전환합니다.

또한 맬웨어는 fodhelper 방법을 통해 권한을 상승시켜 장치 기능에 대한 제어력을 강화하려고 시도합니다. fodhelper.exe 자연스럽게 높은 무결성으로 실행되므로 공격자는 사용자 지정 레지스트리 항목을 사용하여 UAC (사용자 계정 컨트롤)를 우회하거나 훔친 winlogon 프로세스 토큰을 사용하여 자신을 SYSTEM 사용자로 식별 할 수 있습니다.

사슬을 끊기

악성 이메일 및 링크는 Glupteba와 같은 맬웨어 위협에 대한 최고의 감염 경로입니다. CVE-2018-14847 및 이와 유사한 취약점을 피하려면 정기적 인 라우터 패치가 중요합니다.

C & C 주소를 전달하기 위해 블록 체인을 사용하는 경우, IBM 전문가들은 블록 체인이 코드이며 코드에 결함이있을 수 있음을 지적합니다. 업계 전문 지식이 부족하면 잠재적 인 타협의 여지가 있습니다. 체인을 깨기 위해서는 대규모 클라우드 보안 제어와 대규모 트랜잭션 관리가 필요합니다. 우발적 노출 위험을 제한하기위한 특정 사용자 신원 감독.

더글러스 본더 루드

프리랜서 작가

3 년간 프리랜서 작가 인 Doug Bonderud는 기술과 혁신 분야의 전문 지식을 갖춘 서부 캐나다인입니다. 일하는 것 외에도…
자세한 내용을

뉴스 출처

광고 하단
광고 하단
광고 하단
광고 하단

의견 없음