서버의 메모리에서만 실행되는 맬웨어는 해당 서버에 Monero 암호화폐 채굴기를 설치합니다. 감지하기가 매우 어렵습니다.
간단하지만 그렇게 간단하지는 않다
파일이 없는 맬웨어는 Linux 서버를 공격하여 컴퓨팅 리소스를 납치하여 Monero 암호화폐를 생성합니다 .
Bleeping Computer에 따르면 , 이 맬웨어는 Python으로 작성된 비교적 간단한 스크립트 이며 , 컴파일되고 base64 로 인코딩된 XMRig 마이너가 추가되어 있습니다 .
정보 보안 회사 Wiz의 연구원들은 PyLoose를 조사한 결과, 이 악성코드는 RAM 에서만 실행되기 때문에 저장 매체에 존재 흔적을 남기지 않기 때문에 보안 도구에서 감지하기가 극히 어렵다는 사실을 발견했습니다.
하지만 PyLoose가 발견되었습니다. Wiz 전문가들이 기록한 최초의 공격은 6월 22일에 발생했습니다. 그 이후로 이 스크립트를 사용한 공격이 최소 200건 보고되었습니다. Wiz에 따르면, 파일이 없는 Python 기반 맬웨어가 클라우드 리소스를 공격하는 데 사용된 것은 이번이 처음입니다.
러시아의 비트코인 채굴은 점점 수익성이 떨어지고 있습니다.
공격은 Jupyter Notebook 대화형 컴퓨팅 플랫폼 의 공개 웹 인터페이스의 취약점을 악용하는 것으로 시작되는데 , 이 취약점에는 시스템 명령을 제한하는 메커니즘이 제대로 구현되어 있지 않습니다.
공격자는 특별히 제작된 요청을 사용하여 paste.c-net.org에서 파일이 없는 PyLoose 페이로드를 다운로드하고, 이는 Python 런타임 메모리에 즉시 로드됩니다.AI 비서와 커피 할인: 통신 요금 청구 시스템이 할 수 있어야 할 일통신
스크립트가 디코딩되고 압축이 풀리고, Linux memfd 유틸리티를 사용하여 미리 컴파일된 마이너가 메모리에 로드됩니다. 이것은 파일 없는 맬웨어를 Linux에 도입하는 꽤 인기 있는 방법입니다. memfd를 사용하면 다양한 목적으로 사용할 수 있는 익명의 파일 객체를 메모리에 생성할 수 있습니다.
메모리에서 직접 악성 프로세스를 시작하는 것을 포함하여 대부분의 기존 바이러스 백신 솔루션을 우회할 수 있습니다 .
클라우드 리소스의 메모리에 로드된 마이너는 MoneroOcean 풀을 사용하는 XMRig(v6.19.3)의 비교적 새로운 버전입니다.
누가 이런 짓을 했을까?
마법사 전문가들은 이 캠페인의 배후에 누가 있는지 알아낼 수 없었다. 공격자들은 자신을 식별하는 데 도움이 되는 어떤 유물도 남기지 않았기 때문이다. 하지만 전문가들은 이들이 일반적인 해커와는 거리가 멀며, 클라우드 리소스를 공격하는 이들의 방법은 높은 수준의 기술을 보여준다고 생각합니다.
SEQ 의 정보 보안 전문가인 니키타 파블로프는 ” 파일 없는 맬웨어를 사용한다는 사실 자체가 공격이 아마추어에 의해 수행되지 않는다는 것을 보여줍니다.”라고 말했습니다 . – 그러나 공격의 초기 단계는 “진입점”인 웹 인터페이스의 취약한 보호로 인해 가능해지고, “모든 바람에 열려” 코드가 실행될 수 있습니다. 해커는 피해자를 선택할 때 항상 해킹하기 쉬운 사람을 선호합니다.
클라우드 리소스 관리자는 임의의 코드를 실행할 수 있는 웹 인터페이스 와 서비스 를 보호하고 복잡한 암호와 다중 요소 인증을 구현하며 시스템 명령을 실행하는 기능을 최대한 제한하는 것이 좋습니다.”