DirtyMoe 악성 코드

여러 암호 화폐에 의한 훨씬 더 인상적인 가치 상승에 박차를 가한 인기의 급격한 상승은 이전의 틈새 부문을 대중의 주목을 받게했습니다. 위협 행위자들은 또한 추세를 알아 차리고이를 악용하는쪽으로 신속하게 작업을 전환했습니다. 수많은 봇넷과 맬웨어 도구가 생성되었거나 암호화 채굴 기능을 갖추고 있습니다. 그런 다음 위협 행위자는 수천 개의 손상된 시스템의 리소스를 탈취하고이를 사용하여 특정 암호 화폐의 코인을 채굴 할 수 있습니다. 이러한 유형의 최신의 가장 정교한 맬웨어 도구 중 하나는 DirtyMoe 맬웨어입니다. 지금까지 위협은 러시아의 표적에 대해 레버리지되었지만 피해자는 유럽 및 아시아 국가에서도 탐지되었습니다. infosec 연구원에 따르면 현재 DirtyMoe에 감염된 수십만 대의 컴퓨터가 활성화되어 있습니다.

DirtyMoe의 초기 버전은 이름 INFOSEC 연구자들에 의해 추적했다 NuggetPhantom 그들은 종종 불안정하고 쉽게 사이버 보안 제품에 의해 체포되었다. 그러나 그 이후로 악성 코드는 상당한 발전을 거쳤으며 이제는 다양한 탐지 방지 및 분석 방지 기술을 보여주는 알기 어려운 모듈 식 위협이되었습니다.

DirtyMoe의 공격 체인은 해커가 여러 공격에 취약한 피해자를 찾는 것으로 시작됩니다. 그중 하나는 2017 년에 등장한 악명 높은 EternalBlue (CVE-2017-0144) 취약성이지만, 위협 행위자가 해로운 작업에서이를 악용 할 가치가 있다고 생각할 수있는 보안되지 않은 시스템이 충분히 남아 있습니다. DirtyMoe가 선호하는 또 다른 익스플로잇은 Internet Explorer에서 발견 된 스크립팅 엔진 메모리 손상 취약점 (CVE-2020-0674)입니다. 피해자는 안전하지 않은 URL이 포함 된 피싱 이메일을 통해 유인됩니다.

모듈 형 구조

DirtyMoe 악성 코드의 주요 특징은 모듈성입니다. 주요 구성 요소는 DirtyMoe Core입니다. 다운로드, 업데이트, 암호화, 백업 생성 및 DirtyMoe 위협 보호를 담당합니다. Core는 또한 DirtyMoe Executioner에 손상된 코드를 공급하여 이름에서 알 수 있듯이이를 실행합니다. 삽입 된 코드는 MOE 개체 또는 모듈로 명명되며 작업의 명령 및 제어 서버에서 가져옵니다.

맬웨어 위협의 특정 동작은 위협 행위자의 목표에 맞게 추가로 조정할 수 있습니다. 사이버 범죄자들은 DirtyMoe에게 원하는 기능을 전달하는 암호화 된 페이로드를 다운로드 한 다음 자신에게 주입하도록 명령 할 수 있습니다. 몇 시간 안에 수천 개의 DirtyMoe 인스턴스를 이러한 방식으로 수정할 수 있습니다. 실제로 DirtyMoe는 DDoS 공격을 시작하고, 암호화 채굴 활동을 수행하거나, 데이터 수집기, 랜섬웨어, 트로이 목마 등과 같은 추가 위협 페이로드를 제공하는 데 사용될 수 있습니다.

강력한 숨기기 및 자기 방어 기능

DirtyMoe는 VMProtect를 사용하여 주요 위협 코어를 보호합니다. 또한 서비스, 레지스트리 항목 및 드라이버 숨김과 같은 루트킷에서 일반적으로 발견되는 여러 기능을 보여주는 Windows 드라이버를 사용합니다. 추가로 드라이버는 감염된 시스템의 시스템 볼륨에있는 특정 파일을 숨기거나 새로 생성 된 프로세스에 임의의 DLL을 삽입하도록 지시 할 수 있습니다. 네트워크 통신도 강력한 기술을 통해 이루어집니다. 이 위협은 하나의 하드 코딩 된 도메인에 대한 DNS 요청을 만드는 데 사용하는 하드 코딩 된 DNS 서버 세트를 전달합니다. 그러나 최종 IP 주소 및 포트에 대해 DirtyMoe는 다른 순서의 DNS 요청을 사용합니다. 결과적으로 DirtyMoe는 최종 IP가 차단되는 것을 방지합니다. 또한 Google, Cloudflare 및 유사한 서비스와 같은 DNS 서버에 대한 DNS 요청을 차단하는 것은 사실상 비현실적입니다.