영업팀에 문의
  /  암호화폐  / MSSQL 서버에 배포된 PKT 및 Monero 암호화폐의 신비 해제
MSSQL 서버에 배포된 PKT 및 Monero 암호화폐의 신비 해제

MSSQL 서버에 배포된 PKT 및 Monero 암호화폐의 신비 해제

Written by 안잘리 라우트
안잘리 라우트
암호화폐

세상은 빠르게 디지털 시대로 전환하고 있으며, 이는 우리의 소통, 업무, 금융 거래 방식을 변화시키고 있습니다. 이러한 변화는 구동된다 by 기술 발전인터넷 접근성 향상, 그리고 디지털 솔루션이 일상생활에 통합되는 현상. 이러한 맥락에서 암호화폐의 발전은 금융 분야의 디지털 변혁을 상징하는 요소가 되었습니다. 암호화폐는 2009년 비트코인 ​​출시와 함께 등장하여 기존 은행 시스템에 대한 탈중앙화된 PXNUMXP(개인 간 거래) 방식의 대안을 제시했습니다. 지난 몇 년간 암호화폐는 틈새시장에서 세계적인 현상으로 발전해 왔습니다.  이러한 진화를 고려하면, 오늘, 우리는 8천개 이상의 활성화된 암호화폐를 보유하고 있습니다. 이러한 맥락에서, Seqrite Lab은 최근 PKT Classic 암호화폐와 Monero 암호화폐의 채굴 활동을 관찰했습니다.

PKT 클래식 분석:

PKT Classic 소개:

PKT 클래식 소개되었다 2021년. 발사되었다 창조하는 것을 목표로 개인이 사용하지 않는 인터넷 대역폭을 공유하여 암호화폐를 획득할 수 있는 분산형 글로벌 네트워크입니다. 프로젝트가 개발되었습니다 블록체인 기반 생태계를 통해 사람들이 대역폭을 수익화할 수 있도록 하여 기존 인터넷 인프라를 재구성합니다. 프로젝트 풀뿌리 이니셔티브로 시작되었으며 했다 이후 분산형 대역폭 시장 구축에 집중하기 시작했습니다. 

PKT 클래식 암호화폐를 채굴하는 방법은? 

PacketCrypt는 작업 증명(PoW) 알고리즘으로 설계되었습니다. 사용될 PKT를 채굴하다 암호 통화PKT 네트워크의 핵심 구성 요소입니다. PacketCrypt는 채굴자들이 사용하지 않는 인터넷 대역폭을 활용하여 PKT를 채굴할 수 있도록 합니다. 비트코인 ​​채굴자들처럼 연산 ​​능력에만 의존하는 대신, PKT 네트워크의 채굴자들은 네트워크 보안에 기여하고 그 대가로 PKT 코인을 획득합니다. 

2025년 XNUMX월 초 QuickHeal의 연구소에서 관찰되었습니다. 명령 줄 조작 통해 실행 sqlserver.exe. 우리는 그 장치가 손상되었다 공격자가 사용할 수 있는 취약점을 통해 원격으로 악성 코드를 실행하려면. 추가 조사를 통해 우리는 다음을 알게 되었습니다. 가득 찬 공격 체인 어느 다음과 같습니다 :

그림-1

 

공격자 사용 전에, certutil에 유틸리티, 합법적인 Windows 도구(LOLBin이라고도 함)를 다운로드하려면 PKT 채굴 도구. 실제 명령줄은 다음과 같습니다.

그림-2

요청된 URL에서 우리는 다음과 같은 이름의 파일을 발견했습니다. pktw.png 다운로드 후 저장되었습니다. pkt.exe 인간을 NetworkService 계정 % temp %를 디렉토리. 조사하는 동안 URL에 액세스하여 성공적으로 검색할 수 있었습니다 그런 다음 우리는 해당 파일을 검증했습니다.

아래의 Wireshark 스크린샷은 다운로드한 파일이 exe라는 것을 확인시켜 줍니다. 

그림-3

다운로드한 파일은 PKT 코인을 채굴하는 데 사용되는 패킷 암호화 도구입니다. 정적 분석을 수행하는 동안 콘솔 애플리케이션이라는 것이 밝혀졌습니다.

그림-4

PKT 암호화폐를 채굴하려면 Packet Crypt에 지갑 주소와 채굴 풀 URL과 같은 매개변수가 필요합니다. 공격자가 실제로 사용하는 명령은 다음과 같습니다.

그림-5

DaVinci에는 분석하는 견본 in 디버거, 우리는 알게 되었다 저자 이름인 "Caleb James"에 대해 딜라일" 보이는 in 아래 그림

그림-6

간단한 Google 검색 결과 Caleb이 PKT 현금 블록체인 및 네트워킹 프로젝트의 창립자임이 밝혀졌습니다. 분산화를 위해 분산된 대역폭 시장을 통한 인터넷 인프라. PacketCrypt는 그에 의해 개발되었습니다. RUST 언어.  코드는 공개적으로 사용 가능합니다. 아래 Github 저장소.

https://github.com/cjdelisle/packetcrypt_rs 

샘플을 역전할 때 우리는 다음을 관찰했습니다. 이건 RUST 기반이에요 악성 코드, 그리고 그것은 일치합니다 위 빌드. 공격자는 GitHub 저장소를 활용하여 실행 파일(.exe)을 생성한 후 지정된 IP 주소(http://188.81.]134.196/resources/img/pktw.png)에 업로드했습니다. a 배포나 실행을 위한 이미지 파일.

이하 그림은 마이닝 도구의 실행을 보여줍니다.

그림-7

코인 채굴자들은 다음과 같은 것으로 알려져 있습니다. 그들의 과도한 활용 시스템 성능을 저하시키고 상당한 인프라 대역폭을 소모할 수 있는 하드웨어 리소스 가속화로 이어지다 하드웨어 마모 및 파손. 우리는 이것을 볼 수 있습니다 작업 관리자 이미지, 이는 다음을 보여줍니다. 실행 중인 프로세스 "pkt.exe"는 CPU 사용률의 99%를 소모합니다. 

그림-8

PKT 지갑 세부 정보

채굴 활동과 관련된 지갑 ID를 검색하고 해당 상태를 확인했습니다. 풀.패키지.세계 도메인. 조사 결과 해당 지갑이 활발하게 채굴 중임을 확인했습니다. PKT 코인 (참고: 그림 9) 그리고 지속적인 코인 흐름을 생성합니다. 채굴 작업은 계속 진행 중이며 시스템 리소스는 존재 익숙한 이러한 불법 행위에 대해서. 손상된 시스템이 다음의 일부임을 나타냅니다. crypto mining 공격자는 채굴된 것에서 지속적으로 이익을 얻습니다. PKT cryptocurrency.

  • For Wallet ID: pkt1q4syqsnl0m3626lue89wjte2xmvec5sn8jcdyw5
그림-9

 

지갑 주소가 어떻게 되나요? 제공되지 않습니다?

사용자 정의 지갑 주소가 제공되지 않으면 기본 주소가 사용됩니다. 사용, 메인 코드에 존재하며 경고가 나타납니다. 그림과 같이 10. 이는 사용자 지정 지갑 주소가 지정되지 않았으며, 코인은 기본 주소로 채굴된다는 알림입니다.

그림-10

In 그림 11에는 지갑 주소가 지정되지 않았습니다. 따라서 기본 주소를 사용하고 경고 메시지를 표시한 후 채굴을 시작했습니다. 아무것도 없다. 낭비되다 채굴에 관해서라면요.

그림-11

공격자 도메인에 대한 종합 분석

공격자 익숙한 "188.81.134.196″ 배포할 IP 주소 PKT 코인 채굴자입니다. 내부 원격 분석에서 동일한 IP에 대한 추가 조사를 수행한 결과, 동일한 위협 행위자가 다른 악성 파일을 배포하고 있는 것으로 확인되었습니다.

VT 그래프는 아래에 표시된 것처럼 다양한 파일을 다운로드하고 참조한다는 점도 보여줍니다.

그림-12

XMRIG 마이너 분석

이 부분에 대해서는 우리의 분석은 다양한 파일의 기술적 세부 정보를 포함하는 두 부분으로 나뉩니다. 성공적인 분석 후 SQL서버 공격자는 cmd.exe를 실행하여 악용을 시도했습니다. PowerShell을 스크립트 다운로드 원격 서버의 악성 파일. 그림 13은 실행 흐름을 보여줍니다.

그림-13

XNUMX부:

The PowerShell을 스크립트는 "System.Net.WebClient"를 사용하여 파일을 검색합니다." Base64에서 디코딩하여 시스템의 임시 디렉토리(C:\Windows\SERVIC~2\NETWOR~1\AppData\Local\Temp\)에 "X.log"로 저장합니다. ".log" 확장자에도 불구하고 해당 파일은 악성 실행 파일입니다. 전체 명령어는 다음과 같습니다.

그림-14

그림 15는 Base64로 인코딩된 "infoALT.txt" 콘텐츠를 보여줍니다.

그림-15

X.log에서 프로그램 확인:

  1. 실행 중인 프로세스 확인:
    1. isRunning() 메서드는 실행 중인 모든 프로세스를 반복하여 프로그램 이름(Program.Prog)과 일치하는 프로세스가 있는지 확인합니다. 기본값은 "Log.txt"입니다.".
    2. 특정 채굴 프로그램이 이미 실행 중인지 감지하는 방법이 될 수 있습니다.
그림-16
  1. 살해 과정:
    1. kill() 메서드는 프로그램에 저장된 이름을 가진 모든 프로세스를 강제로 종료합니다..음식물.
    2. 이 스크립트로 제어되는 인스턴스만 실행되도록 보장합니다.

인스턴스의 경우 프로그램.Prog(log.txt)가 이미 컴퓨터에서 실행 중입니다. 프로세스는 기존 인스턴스를 종료하고 다시 시작하여 원활하고 중단 없는 작업을 보장합니다. 하는 것입니다 a 공통의 채굴 애플리케이션의 기능.

파일 삭제

  1. 자원 추출:
    1. 이 프로그램은 바이너리 리소스(CmdMinerV2)를 추출합니다. 여기서 ProgL은 기본적으로 "Log.txt"를 사용하고 디스크에 기록합니다.
    2. Assembly.GetExecutingAssembly().GetManifestResourceStream 메서드를 사용하여 리소스를 제안합니다. 임베디드 실행 파일 내에서.
그림-17

삭제된 log.txt 파일을 실행하려면 매개변수가 필요합니다. 이러한 매개변수는 다음과 같습니다.

  1. – 마이닝 작업을 초기화하거나 검증하는 데 사용되는 16진수 문자열입니다.
  2. 직업 ID – 서버에서 할당한 특정 마이닝 작업을 식별합니다.
  3. 목표 – 채굴 난이도 임계값, 16진수 값으로 표현됩니다.
  4. ID – 마이닝 세션이나 클라이언트에 대한 고유 식별자일 가능성이 높습니다.
  5. 메모리 유형 – 마이닝 리소스를 지정합니다(GPU의 경우 "1", "0"" CPU의 경우 S.txt의 존재 여부에 따라 결정됩니다.

이러한 매개변수는 Log.txt 실행 파일에서 처리하는 마이닝 작업을 구성하고 시작하는 데 필수적입니다.

그림-18

S.txt 파일은 GPU 마이닝을 활성화하는 마이닝 모드를 결정합니다(MemoryType = "1") 및 CPU 마이닝으로 기본 설정되는 부재(MemoryType = "0"). 그것 도 사용됩니다 프로그램 실행 중 특정 조건에서 재설정 또는 대체 마커로 사용됩니다.

The 아래 코드 조각 "알고"를 보여줍니다 :[ “JSON 페이로드의 rx/0″], 그 RandomX 알고리즘은 일반적으로 채굴에 사용됩니다. 모네로 (XMR)은 XMRIG가 채굴하는 주요 암호화폐입니다. 채굴 소프트웨어.

그림-19

적절한 매개변수를 제공하면 Log.txt 실행 파일이 마이닝 작업을 시작합니다. 정확한 필수 매개변수는 알려지지 않았지만 샘플 입력을 사용하여 성공적으로 마이닝을 시작했습니다. 그리고 그것 CPU 사용률의 96%를 소모합니다(그림 20 참조).  Log.txt를 확인합니다 구성 암호화폐 채굴 작업을 위해.

그림-20

XNUMX부:

관찰된 초기 기법은 분석 1부에서 확인된 기법과 일치합니다. 공격자는 "info2R.txt"를 검색합니다." "http://188.[81.134.196/resources/js/info2R.txt"의 파일" URL을 Base64에서 이진 데이터로 디코딩합니다.

정확한 명령은 다음과 같습니다.

그림-21

그림 22는 “info2R.txt”를 보여줍니다." 콘텐츠. 디코딩된 데이터 그런 다음 쓰여집니다 시스템의 임시 디렉토리로 "Net5System.exe"

그림-22

Net5System 실행 파일은 Themida로 포장되어 있으므로 매우 난독화되어 있습니다, 더 어렵게 만듭니다 분석하다 (보내다 그림-23). 압축된 파일이 실행되면 자체 압축이 해제되고 악성 페이로드가 실행되어 공격자가 시스템에 대한 무단 액세스 또는 제어권을 얻을 가능성이 있습니다.

그림-23

Themida로 채워진 악성 파일을 실행한 후, 암호화폐 채굴을 시도하지만 config.json 및 xmrig.json과 같은 필수 설정 파일을 찾지 못합니다(그림 24 참조). 오류 메시지는 사용자를 XMRig 설정 마법사(https://xmrig.com/wizard)로 안내하며, 피해자에게 채굴 소프트웨어의 누락된 파일을 생성하거나 다운로드하도록 유도하는 것으로 보입니다. 이러한 동작은 악성코드가 모네로 채굴을 시도하고 있음을 시사합니다. by 피해자의 시스템 리소스를 사용하고, 사용자를 마법사로 안내하여 설정을 완료하고 채굴 작업을 시작하는 것을 목표로 합니다.

그림-24

결론 :

공격자는 끊임없이 망보다 취약한 자격 증명이나 소프트웨어 취약성과 같은 시스템의 취약점을 악용할 수 있습니다. 자신의 이득. 이 공격은 그런 것 중 하나 공격자가 MSSQL 서버의 취약점을 악용하는 사례입니다. 또한, 이 공격은 GitHub 저장소, Windows LOLBin, PowerShell 스크립트와 같이 공개적으로 사용 가능한 소스 코드를 악용하는 다단계 공격을 보여줍니다. PKT 암호화폐 채굴 도구인 PacketCrypt와 Monero 채굴 도구인 XMRIG는 배치되었다 채굴을 위해 시스템 리소스를 탈취하려고 했습니다. 공격자는 pkt.exe 및 Log.txt와 같은 파일을 사용하여 채굴 프로세스를 시작했는데, 이로 인해 상당한 CPU 및 GPU 전력이 소모되었습니다.

발각:

빠른 치료 바이러스 백신 모든 암호화폐 채굴 변형을 효과적으로 감지합니다. 악성 코드, 정적 및 동적 분석 방법을 통해 광산 활동에 대한 위협을 즉시 식별합니다.

탐지 이름:

트로이 목마.알레볼

Trojan.CoinMiner.49281.GC

트로이 목마.가나라바.*

완화:

암호화폐 채굴을 위해 시스템 리소스를 악용하는 맬웨어의 위험을 완화합니다., 몇 가지 사전 예방 조치를 취해야 합니다..

  • 정기적인 소프트웨어 업데이트는 다음을 보호하는 데 필수적입니다. 운영 체제 및 애플리케이션의 취약점.
  • 일정 횟수 이상 로그인에 실패한 경우, 로그인 시도가 인간의 행위인지 확인하기 위해 CAPTCHA를 구현합니다.
  • 최소한의 비밀번호 복잡성(길이, 문자 조합)을 적용하세요. 사용자에게 고유하고 강력한 비밀번호 사용을 권장하거나 요구하세요.
  • 강력한 활용 실시간 보호 및 주기적 검사 기능을 갖춘 바이러스 백신 소프트웨어는 악성 소프트웨어를 감지하고 제거하는 데 도움이 될 수 있습니다.
  • 관리자 권한을 제한하면 무단 설치를 방지할 수 있고, 리소스 모니터링 도구를 사용하면 채굴 활동을 나타내는 비정상적인 CPU 및 GPU 사용량을 파악할 수 있습니다.

이러한 전략을 함께 적용하면 조직의 암호화폐 채굴 맬웨어에 대한 방어력을 크게 강화할 수 있습니다.

침해 지표(IoC)

입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에

파일 이름 파일 해시

Pkt.exe e3d0c31608917c0d7184c220d2510848f6267952c38f86926b15fb53d07bd562

InfoALT.txt a5ca1e64278543dd9c0423d6e183efaaac1167fc0210da7eea9bf7a1b0246be8

x.log 9398d7a723e2ba4bb8046c8a6b796d9fc13c530a355d6319a53437e556071f39

Log.txt 5369b61daacbb811f1da996b5e61a70719d43175f447ceaa9b9023b875fe70bc

Info2R.txt 250743f1af4b5a9dd18028f792a0432a43d6bf17b50aad75b9d3a0c83786940d

Net5System.exe b1d169f6904ac5af690243e6d0b042a64089251114a630a740c87208ead52503 

 

URL

http://188[.]81[.]134[.]196/resources/img/pktw.png

http://188[.]81[.]134[.]196/resources/js/info2R.txt

http://188[.]81[.]134[.]196/resources/js/infoALT.txt

 

주제 전문가

안잘리 라우트

라야파티 락슈미 프라산나 사이

루마나 시디키

안잘리 라우트

안잘리 라우트 소개

안잘리는 Quick Heal Technologies Ltd.의 보안 연구원입니다. 그녀의 관심사는 리버스 엔지니어링, 맬웨어 분석, 그리고 지속적인 악성코드 탐색입니다.

안잘리 라우트의 기사 »

관련 게시물