헤드크랩 악성코드

헤드크랩(HeadCrab)이라는 새롭고 매우 은밀한 악성코드가 온라인에서 Redis 서버를 감염시키고 모네로 암호화폐를 채굴하기 위한 봇넷을 구축하고 있습니다. Th HeadCrabe 악성코드는 1,200개 이상의 Redis 서버를 손상시키는 데 성공했으며 이를 통해 더 많은 대상을 검색합니다. HeadCrab의 배후에 있는 정교한 위협 행위자는 기존의 맬웨어 방지 솔루션이나 에이전트 없는 시스템에서 쉽게 탐지할 수 없는 고도로 발전된 맞춤형 맬웨어를 개발했습니다. HeadCrab 맬웨어와 위협적인 작업에 대한 세부 정보는 infosec 연구원의 보고서에서 공개되었습니다.

HeadCrab 악성코드가 악용하는 감염 경로

이 봇넷의 배후에 있는 공격자는 Redis 서버의 취약점을 악용합니다. 이 취약점은 조직의 네트워크 내에서 내부용으로 설계되었으며 기본적으로 인증이 부족합니다. 관리자가 실수로든 고의로든 서버를 적절하게 보호하지 못하고 인터넷에서 서버에 액세스할 수 없게 하는 경우 공격자는 위협적인 도구나 맬웨어를 사용하여 쉽게 제어할 수 있습니다. 인증되지 않은 서버에 액세스할 수 있게 되면 공격자는 "SLAVEOF" 명령을 실행하여 서버를 자신이 제어하는 마스터 서버와 동기화하여 새로 하이재킹된 시스템에 HeadCrab 악성코드를 배포할 수 있습니다.

HeadCrab 악성코드의 유해 기능

일단 설치 및 활성화되면 HeadCrab은 공격자에게 대상 서버를 장악하고 암호화 마이닝 봇넷에 통합하는 데 필요한 모든 기능을 제공합니다. 손상된 장치의 메모리에서 작동하여 맬웨어 방지 검사를 피합니다. HeadCrab 악성코드는 모든 로그를 제거하고 탐지를 피하기 위해 운영자가 제어하는 다른 서버와만 통신합니다.

공격자는 탐지를 피하고 보안 솔루션에 의해 차단될 위험을 최소화하기 위해 인증된 IP 주소, 주로 다른 오염된 서버와 통신합니다. 또한 HeadCrab 악성코드는 대부분 Redis 프로세스를 기반으로 합니다. 이러한 프로세스는 위협적이거나 의심스러운 것으로 간주되지 않습니다. 페이로드는 메모리 전용 파일인 'memfd'를 통해 로드되는 반면 커널 모듈은 디스크 쓰기를 방지하기 위해 메모리에서 직접 로드됩니다.

HeadCrab Malware 캠페인과 관련된 Monero 암호화폐 지갑 주소를 분석한 결과 공격자들이 직원당 연간 약 $4,500의 이익을 긁어모으고 있는 것으로 나타났습니다. 추정치가 정확하다면 다른 작업 유형에서 관찰되는 작업자당 일반적인 $200보다 크게 증가한 것입니다.