LemonDuck 악성코드 탐지: 암호화폐 채굴을 위한 CVE-2017-0144 및 기타 마이크로소프트 서버 메시지 블록(SMB) 취약점 악용

악명 높은 암호화폐 채굴 악성코드인 LemonDuck이 Microsoft의 서버 메시지 블록(SMB) 프로토콜의 알려진 취약점을 악용하여 Windows 서버를 공격한 사례가 관찰되었습니다. 이러한 취약점에는 EternalBlue 결함 으로 추적되는 CVE-2017-0144가 포함됩니다. 이 악성코드는 자격 증명 도난을 수행할 수 있는 더욱 고도화된 위협으로 진화하고 있으며, 여러 공격 벡터를 통해 확산됩니다.

Windows 서버의 SMB 취약점을 악용한 LemonDuck 악성코드 공격 탐지

암호화폐 채굴 공격이 최근 몇 년간 급증하면서, 암호화폐 탈취에 대한 인식을 높이는 것이 필수적입니다. LemonDuck 채굴자 운영자들의 최근 캠페인은 이러한 증가하는 위협의 전형적인 예로, Microsoft 서버 SMB 취약점을 악용하며, EternalBlue 같은 결함을 포함한 정교한 회피 기법을 사용하여 영향력을 극대화하고 있습니다.

LemonDuck 공격을 악용한 상황에서 대비하기 위해, 사이버 방어자들은 SOC Prime 플랫폼 을 활용할 수 있습니다. 이는 맞춤형 탐지 규칙을 집합하여 고급 위협 탐지, 자동화된 위협 사냥, AI 기반 탐지 엔지니어링을 위한 완벽한 제품군으로 보강된 집단적 사이버 방어를 제공합니다. ” 탐지 탐색 ” 버튼을 눌러 관련된 Sigma 규칙 모음을 즉시 세부적으로 조사할 수 있습니다.

탐지 탐색

SOC Prime 팀은 전문가 위협 현상금 개발자와 협력하여 LemonDuck 공격에 연관된 악성 활동을 탐지하기 위해 13개의 탐지 규칙을 개발했습니다. 이 규칙들은 30개 이상의 SIEM, EDR, 데이터 레이크 플랫폼과 완벽히 호환되며, MITRE ATT&CK® 프레임워크에 맞추어 정렬되어 있습니다. 각 탐지 규칙은 풍부한 메타데이터와 함께 강화되어 있으며, 예를 들어 위협 인텔리전스 링크, 공격 시간표, 분류 제안, 감사 권고 및 효과적인 위협 탐지를 돕기 위한 다른 유용한 통찰을 제공합니다.

SOC Prime의 크라우드소싱 이니셔티브에 합류하는 데 관심이 있으신가요? 탐지 엔지니어링과 위협 사냥 전문성을 향상시키기 위한 숙련된 사이버 보안 전문가들은 우리의 위협 현상금 프로그램에 참여함으로써 업계에 기여할 수 있습니다. 이 이니셔티브는 탐지 콘텐츠 작성자가 기술을 향상시키고, 금전적 보상을 받으며, 전 세계적인 사이버 보안 노력을 강화하는 중요한 역할을 할 수 있는 기회를 제공합니다.

LemonDuck 악성코드 분석

불법적인 채굴(암호화폐 탈취)을 수행하도록 설계된 암호화폐 악성코드 와 이러한 악성 변종의 지속적인 진화의 상당한 증가와 함께, 글로벌 조직과 개인 사용자는 방어 능력을 강화하는 방법을 모색하고 있습니다. NetbyteSEC 은 2019년 등장 이후 간단한 암호화폐 채굴 봇넷에서 Windows 서버를 대상으로 한 더욱 정교한 위협으로 발전한 LemonDuck 악성코드를 현재 연구하고 있습니다.

LemonDuck은 알려진 EternalBlue 취약점 과 다른 Microsoft SMB 결함을 무기화하여 네트워크에 침투, 보안 대책을 비활성화하고 암호화폐를 채굴하는 것이 탐지되었습니다. 이 악성코드는 피싱 이메일을 포함한 여러 감염 벡터를 적용하며, 무차별 대입 공격을 수행할 수 있고, 감지 회피 및 암호화폐 탈취를 위한 악성 페이로드 배포에 PowerShell을 활용합니다.

초기 공격 단계에서, 적들은 SMB 머신에 대해 무차별 대입 공격을 수행하기 위해 IP 주소 211.22.131.99를 활용하고, Administrator라는 로컬 사용자로 로그인하여 접속에 성공했습니다. 계정 로그인 후, 공격자들은 C: 드라이브에 대한 숨겨진 관리 공유를 설정하여 고급 자격 증명을 가진 사용자가 드라이브에 원격으로 접근할 수 있도록 했습니다. 이 숨겨진 공유는 적들이 지속성을 유지하고 원격 액세스를 얻으며, 배치 파일과 PowerShell 스크립트를 통해 악의적 행동을 수행하는 동안 탐지를 회피할 수 있게 했습니다. 이는 네트워크 침투 설정, 스크립트 다운로드 및 실행, 실행 파일 작성 및 이름 변경, 지속성을 위한 예약 작업 구성, 방화벽 규칙 변경, 드라이버 시작 및 시스템 강제 재부팅을 통한 탐지 회피 및 악성 코드 분석 차단을 수반합니다. 공격은 감염 흔적을 방해하기 위한 정리 및 최종 실행으로 끝납니다.

악성코드는 Windows Defender의 실시간 모니터링을 비활성화하고 다른 공격적 작업을 수행하여 은밀성을 유지하므로, C2 통신을 용이하게 하여 공격자가 시스템을 제어하거나 데이터를 외부로 빼돌릴 수 있게 하며, 보안 도구에 의한 탐지를 회피합니다. 추가로 LemonDuck은 더욱 악의적인 스크립트를 다운로드하려 시도하고, Mimikatz 를 사용하여 자격 증명을 훔쳐, 네트워크 내에서 횡적으로 움직일 수 있는 가능성을 키웁니다.

LemonDuck의 은밀한 암호화폐 채굴 악성코드가 탐지 회피 기법을 활용하여 진화함에 따라, 조직은 EternalBlue와 같은 알려진 SMB 취약점에 대한 보호를 강화하고 타협의 위험을 줄이기 위해 정기적으로 모든 운영 체제와 소프트웨어를 업데이트할 것을 권장합니다. SOC Prime 플랫폼을 통한 공동 사이버 방어를 신뢰함으로써, 보안 엔지니어는 항상 등장하는 위협에 앞서기 위한 미래에 대비한 사이버 보안 방어 태세를 구축할 수 있습니다.