[하루한줄] Pro-Ocean: Rocke Group's New Cryptojacking Malware

URL

Pro-Ocean: Rocke Group’s New Cryptojacking Malware

Target

Apache, Orcale, Redis, Tecent Cloud, Alibaba Cloud 등 클라우드 서비스

Explain

2019년 Rocke Group의 클라우드 서비스를 타깃으로 한 Monero 채굴기에 대한 문서가 공개된 후 멀웨어가 업데이트되었습니다. 향상된 루트킷과 웜을 사용하여 보안 회사들의 탐지 기술을 우회하고 클라우드 애플리케이션을 타깃으로 한 다음과 같은 알려진 취약점을 사용했습니다.

Apache ActiveMQ(CVE-2016-3088)
Oracle WebLogic(CVE-2017-10271)
Redis(unsecure instances)

Pro-Ocean은 XMRig Miner를 포함하며 탐지를 피하기 위해 다음과 같은 난독화 레이어를 사용합니다.

UPX로 패킹되어 있고 탐지를 피하기 위해 UPX magic string을 삭제
언팩 된 바이너리 안에 모듈이 gzip으로 압축되어 있고, XMRig 바이너리가 압축된 모듈 안에 존재
XMRig 바이너리 또한 UPX로 패킹되어 있고 magic string이 존재하지 않음

Pro-Ocean의 4가지 모듈은 다음과 같은 함수를 통해 순서대로 추출되고 실행됩니다.

main_ReleaseExerkt을 통해 Rootkit Module이 실행, 루트킷과 악성 서비스 설치
main_ReleaseExe를 통해 XMRig Miner 실행
main_ReleaseExelk를 통해 Watchdog 실행
main_ReleaseExescan을 통해 infection script 실행

LD_PRELOAD를 사용하여 악성 행위를 숨기고 Libprocesshider를 사용하여 프로세스를 숨기며 python infection script를 사용하여 public IP와 동일한 16비트 서브넷에 있는 모든 컴퓨터에 감염을 시도합니다. python script는 악성 http 서버에서 installation script를 다운로드하는 페이로드를 보내 Pro-Ocean을 설치하여 확산됩니다. Installation script는 bash로 작성되어 있으며 다음과 같은 순서로 동작합니다.

Luoxk, BillGates, XMRig, Hashfish 등의 다른 멀웨어나 Miner 삭제 시도.
다른 멀웨어가 복구될 수 없도록 모든 cron task 삭제
인터넷에 모든 접근 권한을 갖기 위해 iptables 방화벽 비활성화
Tencent Cloud나 Alibaba Cloud에서 멀웨어가 실행될 경우, 탐지 우회를 위해 모니터링 agents 삭제
SSH key를 확인하고 다른 기기를 감염시키는 데 사용

또한 Monero 채굴을 효과적으로 하기 위해 Watchdog Module을 통해 CPU 사용량이 30%가 넘는 프로세스를 강제 종료하고, 멀웨어가 작동 중인지 확인하고 작동 안 할 시 실행을 수행합니다.

1day1line

malware idioth cloud cryptocurrency monero rocke

idioth

본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.

[하루한줄] Stack-based buffer overflow RCE in WD NAS Previous

[하루한줄] NoxPlayer Spyware Next