최근 악성코드인 글루테바의 사이버 공격 행위가 발견되었습니다. 윈디고(windigo)라는 공격 캠페인에서 발견돼 취약점을 통해 윈도우 사용자에게 확산된 오래된 악성코드다.
2018년 한 보안 회사에서는 글루테바가 Windigo와 독립적으로 행동했으며 설치당 지불 애드웨어 서비스로 전환했다고 보고했습니다. Glupteba 활동에는 프록시 서비스 제공, 채굴 활동의 취약점 이용 등 다양한 목적이 있습니다.
최근 발견된 Glupteba 변종을 조사한 결과, Glupteba 악성 코드 외부에 문서화되지 않은 두 가지 구성 요소가 발견되었습니다.
1 브라우저에서 검색 기록, 웹 사이트 쿠키, 계정 이름 및 비밀번호와 같은 민감한 데이터를 훔칠 수 있는 브라우저 스틸러입니다. , 원격 서버로 정보 전송.
2. CVE-2018-14847 취약점을 이용해 로컬 네트워크의 Mikrotik 라우터를 공격하세요. 도난당한 관리자 자격 증명을 서버에 업로드합니다. 라우터는 프록시 릴레이로 사용됩니다.
또한 Glupteba에서 비트코인 거래를 사용하여 최신 C&C 도메인 이름을 얻을 수 있다는 사실도 발견했습니다. 이 기능에 대해서는 다음 섹션에서 자세히 설명하겠습니다. 맬웨어 개발자는 여전히 소프트웨어를 개선하고 프록시 네트워크를 IoT 장치로 확장하기 위해 노력하고 있습니다.
Glupteba 다운로드 분석
이 단락은 다음과 같이 다시 작성할 수 있습니다. 사용자 정의 패키징 프로그램은 Go 프로그래밍 언어를 사용하여 작성되고 다운로드한 바이너리 파일을 패키징하기 위해 실행 파일로 컴파일됩니다. 구성 정보를 초기화할 때 먼저 현재 애플리케이션 정보, 작동 정보, 하드웨어 정보 및 일부 하드 코딩된 바이너리 정보를 얻어야 합니다. 획득한 모든 정보를 저장하기 위해 레지스트리 키 hkey_users
sendparentprocesss 함수는 레지스트리에서 machine_guid를 가져오고 상위 프로세스의 파일 이름, pid 및 이름에서 배포자 ID와 활동 ID를 가져옵니다. 프로그램은 AES 암호화 알고리즘을 사용하여 POST 요청에 정보를 포함하고 이를 C&C 서버에 업로드합니다.
그런 다음 프로세스가 승격되어 시스템 사용자로 실행되고 있는지 확인하세요. 프로세스가 승격되지 않으면 fodhelper 방법을 사용하여 권한을 높이려고 시도합니다. 시스템 사용자로 실행되고 있지 않으면 "신뢰할 수 있는 설치 프로그램으로 실행" 모드를 사용하여 시작됩니다.
다음과 같은 주요 명령이 있습니다: 
mainstall 함수는 설치된 바이러스 백신 프로그램을 확인하고, 방화벽 규칙을 추가하고, Defender 제외를 추가합니다.
mainpoll 함수는 정기적으로 c&c 서버에서 새 명령을 폴링합니다. 다음은 AES 암호화가 적용되지 않은 POST 매개변수입니다.
challenge=e94e354daf5f48ca&cloudnet_file=1&cloudnet_process=1&lcommand=0&mrt=1&pgdse=0&sb=1&sc=0&uuid=&version=145&wup_process=1&wupv=0.
마지막으로, handlercommand 함수는 백도어 기능을 구현합니다.
백도어에는 대부분의 표준 기능이 있으며, 악성 코드는 discoverdomain 기능을 통해 블록체인을 통해 C&C 서버 주소를 업데이트할 수 있습니다.
discoverDomain 기능은 자동으로 실행되거나 백도어 명령을 통해 실행될 수 있습니다. discoverdomain은 먼저 공개 목록을 사용하여 일렉트럼 비트코인 지갑 서버를 열거한 다음 하드코딩된 해시를 사용하여 기록 쿼리를 시도합니다.
glupteba 변종에서 발견된 구성 요소는 "updateprofile"이라고 하며 브라우저 프로필, 쿠키 및 비밀번호 추출기입니다. 정보 수집 서버는 압축된 쿠키, 기록 및 기타 프로필을 수집합니다. 이 구성 요소도 Go로 작성되어 실행 파일로 컴파일되고 upx로 패키지됩니다.
브라우저 스틸러의 또 다른 버전은 “vc.exe”입니다. 브라우저에 저장된 비밀번호, 쿠키 데이터를 추출하여 정보수집 서버로 전송하도록 설계되었습니다.
우리가 발견한 또 다른 구성 요소는 역시 Go 언어로 개발된 라우터 공격 구성 요소입니다. 피해자 네트워크의 기본 게이트웨이를 보고 wmi 명령 "select defaultipgateway from win32_networkadapterconfiguration where ipenabled=true"를 호출하여 기본 IP 게이트웨이 목록을 가져올 수 있습니다.
이 주소 외에도 다음 세 가지 기본 주소가 추가되었습니다: 192.168.88.11, 192.168.0.1, 192.168.1.1.
구성 요소가 포트 8291에서 수신 대기하는 장치에 성공적으로 연결되면 Mikrotik 라우터에서 사용되는 Routeros 시스템에 영향을 미치는 CVE-2018-14847 취약점을 악용하여 장치를 공격하려고 시도합니다. 이를 통해 공격자는 패치가 적용되지 않은 라우터에서 관리자 자격 증명을 얻을 수 있습니다. 획득된 계정명과 비밀번호는 json 객체에 저장되어 암호화된 후 c&c 서버로 전송됩니다.
자격 증명을 성공적으로 획득한 후 라우터의 스케줄러에 작업이 추가됩니다. 스케줄러 작업을 추가하는 방법에는 winbox 프로토콜 사용, ssh 사용 또는 api 사용의 세 가지 방법이 있습니다.
위 설정 후 라우터는 공격자가 트래픽을 중계하는 SOCKS 프록시가 됩니다. 공격자는 서버가 양말 프록시를 통해 첫 번째 원격 연결을 라우팅하도록 할 수 있습니다. 이 서버 쿼리는 현재 SOCKS 프록시 서버의 IP 주소를 반환합니다. 이 쿼리는 SOCKS 프록시 서비스를 모니터링하기 위해 반복적으로 전송됩니다.
라우터 상태를 처음 확인한 후 프록시의 서로 다른 서버에 연결되는 두 가지 유형의 트래픽이 있습니다. 첫 번째는 스팸 트래픽입니다. 라우터의 양말 프록시를 사용하여 원격 서버는 여러 다른 메일 서버의 smtp에 연결됩니다. 메일 서버가 연결을 수락하면 원격 서버가 스팸 보내기를 시작합니다.
스팸 트래픽 외에도 인스타그램에 반복적으로 연결되는 원격 서버 집합의 다른 트래픽도 있습니다. 트래픽은 HTTPS 암호화로 보호되기 때문에 이러한 연결의 정확한 목적을 확인할 수 없습니다. 인스타그램의 비밀번호 재사용 공격일 가능성이 있습니다.
맬웨어는 사용자와 기업에 영향을 미치는 광범위한 위협입니다. 게이트웨이, 엔드포인트, 네트워크 및 서버에서 보안에 대한 다계층 접근 방식이 중요합니다.
대부분의 가정 및 사무실 장치는 라우터에 연결되어 있으므로 라우터를 설정할 때 보안을 최우선으로 고려해야 합니다. 사용자와 기업은 위협으로부터 보호하기 위해 우수한 보안 조치를 채택할 수 있습니다. 또한 관련 도구를 사용하여 홈 네트워크 및 연결된 장치에 추가 보안 계층을 추가하여 보안 방어를 더욱 강화하세요.
위 내용은 Glupteba 악성코드 변종 분석 예시의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
