HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

모네로(XMR) 채굴 악성앱 주의
등록일 :
2018.03.14

□ 개요
ADB포트를 이용하여 웜형태로 전파시키는 모네로 채굴 악성앱이 등장하여 주의를 요구하고 있다. 무차별 SYN스캐닝을 통해 ADB포트가 열린 단말기를 스캐닝한다. 만약 ADB포트가 열려있는 단말기를 찾으면, 해당 단말기에 악성 모듈을 복사하고 다시 무차별 SYN스캐닝을 통해 ADB포트가 열린 단말기를 스캐닝을 하는 방식으로 악성앱을 전파하게 된다. 과거 2016년에 배포되었던 mirai SYN스캐닝 코드와 비슷하며, DDOS공격에 사용되었던 mirai와는 달리 ADB.miner는 모네로 채굴에 이용된다. 

 

 

□ 내용 

- ADB.Miner의 도식도 

 

 

- ADB.Miner의 Code Flow 

 

 

 

1. sss 

- main파일이며, 모듈을 생성한 뒤 droidbot 을 데몬 형태로 실행시킨다.

 

(1) bot.dat 파일을 복호화한 뒤 압축을 해제한다.

 

 

- 압축을 풀어서 드랍 되는 파일 목록  

   

이름

 타입

 설명

 Config.json

 Json

 Xmirg에 사용되는 설정 값 

 droidbot

 ELF-ARM

 droidbot 파일 실행 

 droidbot.apk

 APK

 Coinhive를 이용한 모네로 채굴 

 invoke.sh

 Script

 droidbot.apk 설치와 실행 

 nohup

 ELF-ARM

 데몬 형태로 프로세스 실행 

 mrig32/64

 ELF-ARM

 모네로 채굴 


   

(2) 드랍 된 파일들의 권한을 755로 변경한다.

 

 

 

(3) nohup 이용하여 droidbot을 데몬형태로 실행시킨다.

 

 

 

 

2. droidbot
- 무차별로 SYN포트 스캐닝을 하여 웜 형태로 악성앱을 배포하며, 악성앱 감염 시 모네로를 채굴한다.

 

(1) invoke.sh 스크립트 파일을 실행시킨다.

 

 

- pm 명령어를 이용하여 droidbot.apk 설치
- am 명령어를 이용하여 droidbot.apk 실행

 

 

 

 

 

(2) raw 소켓을 연다.

 

 

 

(3) 무차별 SYN스캔을 위해 IP를 랜덤으로 생성하며 랜덤으로 IP를 생성하는 코드가 2016년에 배포되었던 mirai 코드와 유사하다.

 

 

- IP를 랜덤으로 생성하는 mirai 코드

 

 

 

(4) 대역별로 IP를 랜덤으로 생성하는 코드이다. 

 

 

- 대역별로 IP를 랜덤으로 생성하는 mirai 코드

 

 

 

(5) 랜덤으로 생성된 IP를 이용하여 무작위로 SYN스캔을 한다.

- Port : 5555