코인 마이너 수정 워크플로

코인 마이너 공격을 수정하려면 다음 단계를 따르십시오.

소개

코인 마이너는 CPU 사이클과 RAM을 훔쳐서 다양한 암호화폐에 대해 채굴 계산을 수행하는 실행 파일입니다. 이런 맬웨어 변종은 명백한 피해를 일으키지 않기 때문에 일반적으로 매우 은폐되어 있으며, 따라서 장치의 백그라운드에서 채굴을 계속할 수 있습니다. 가장 일반적인 증상은 장치 성능이 크게 저하되는 것입니다.

코인 마이너인지 확인하는 방법

먼저, 코인 마이너 또는 다른 WMI(Windows Management Instrumentation) 지속성 기반 감염을 처리하고 있는지 확인해야 합니다. 코인 마이너 감염을 확인하려면 다음과 같이 하십시오.

1. Microsoft Autoruns를 사용하여 감염을 찾습니다. Microsoft Autoruns를 사용하여 감지되지 않는 맬웨어를 찾는 방법을 참조하십시오.

   WMI 탭에 항목이 표시됩니다.

   아래 스크린샷은 코인 마이너의 예를 보여줍니다.

   

시스템 업데이트 및 패치 적용

모든 장치에 최신 Windows 보안 패치가 적용되어 있는지 확인하십시오. EternalBlue 익스플로잇에 대한 패치가 포함되어 있어야 합니다.

EternalBlue는 Microsoft SMB의 취약성을 이용하는 익스플로잇으로, 특히 WannaCry 랜섬웨어를 확산시키는 데 사용되었습니다. 현재 다양한 맬웨어군에서 이를 사용하고 있습니다. 장치에 패치를 적용하고 이 감염 벡터를 제거하면 코인 마이너 실행을 더 어렵게 만들고 EternalBlue를 사용하는 다른 맬웨어로부터 보호할 수 있습니다.

Microsoft는 Microsoft 업데이트에서 EternalBlue용 패치를 릴리스했습니다. MS17-010. 컴퓨터에 패치가 적용되었는지 확인하는 방법은 공식 Microsoft 문서에 설명되어 있습니다. MS17-010이 설치되었는지 확인하는 방법을 참조하십시오.

Sophos에는 패치가 적용되어 있는지 확인하기 위해 개별 장치에서 실행할 수 있는 간단한 PowerShell 스크립트가 있습니다. 이에 대한 자세한 내용은 컴퓨터가 EternalBlue에 취약한지 확인하는 방법 - MS17-010을 참조하십시오.

장치에 패치를 적용하고 업데이트하려면, 다음과 같이 하십시오.

1. 장치가 EternalBlue에 취약한지 확인합니다.
2. 최신 Windows 보안 패치로 장치를 업데이트합니다.

3. 이런 PowerShell 명령을 사용하여 WMI 데이터베이스에서 이벤트 필터, 이벤트 소비자 및 필터 소비자 바인딩 정보를 가져올 수 있습니다.

   • wmic /namespace:\\root\subscription PATH __EventFilter get/format:list > C:\EventFilter.txt
   • wmic /namespace:\\root\subscription PATH __EventConsumer get/format:list > C:\EventConsumer.txt
   • wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list > C:\FilterToConsumerBinding.txt

4. C:\에서 생성된 결과 .txt 파일을 압축하고 이름을 [Machine_Name_WMI].zip으로 바꿉니다.

5. 감염되지 않은 장치의 다음 예시와 비교하여 해당 파일을 확인합니다.

   EventFilter.txt

   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventAccess=
   EventNamespace=root\cimv2
   Name=**SCM Event Log Filter**
   Query=select * from MSFT_SCMEventLogEvent
   QueryLanguage=WQL
   

   EventConsumer.txt

   Category=0
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   EventID=0
   EventType=1
   InsertionStringTemplates={""}
   MachineName=
   MaximumQueueSize=
   Name=**SCM Event Log Consumer**
   NameOfRawDataProperty=
   NameOfUserSIDProperty=sid
   NumberOfInsertionStrings=0
   SourceName=Service Control Manager
   UNCServerName=
   

   FilterToConsumerBinding.txt

   Consumer="NTEventLogEventConsumer.Name="SCM Event Log Consumer""
   CreatorSID={1,2,0,0,0,0,0,5,32,0,0,0,32,2,0,0}
   DeliverSynchronously=FALSE
   DeliveryQoS=
   Filter="__EventFilter.Name="**SCM Event Log Filter**""
   MaintainSecurityContext=FALSE
   SlowDownProviders=FALSE
   

6. 감염되지 않은 장치에 대해 표시된 것과 다르거나 더 많은 항목이 파일에 포함되어 있는 경우 이 스크립트를 사용하여 파일을 정리합니다.

   1. 굵게 표시된 텍스트에서 적절한 정보를 찾아 다음 스크립트에서 필요한 정보를 대체하고 실행합니다.

      Get-WMIObject -Namespace root\Subscription -Class __EventFilter -filter "Name= 'SCM Event Log Filter'" | Remove-WMIObject  -Verbose
      Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='SCM Events Log Consumer'" | Remove-WMIObject -Verbose
      wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE "Filter=""__EventFilter.Name='SCM Events Log Filter'""" DELETE
      

코인 마이너 찾기

코인 마이너는 실행 파일이거나 예약된 작업 또는 WMI 항목의 형태로 된 스크립트입니다.

1. Microsoft Autoruns를 사용하여 실행되고 있는 코인 마이너의 유형을 확인합니다.

2. 악성 실행 파일이 있는 경우 샘플을 제출합니다. 샘플 제출을 참조하십시오.

   서명이 업데이트되고 릴리스되면, Sophos는 모든 장치에서 자동으로 정리를 수행합니다.

   실행 파일을 찾을 수 없는 경우 Sophos 신속 대응 팀에 문의하십시오.

3. 스크립트가 있는 경우 다음 문서를 사용하면 처리하는 데 도움이 됩니다.

   • WannaMine - CryptoJacking 웜 조사 방법
   • WMI 기반 JavaScript CoinMiner 제거 방법
   • 기업 네트워크를 크립토재킹하는 Lemon_Duck PowerShell 맬웨어 – Sophos 뉴스: 이 문서에는 코인 마이너가 예약된 작업을 사용하는 경우에 유용한 정보가 포함되어 있습니다.

코인 마이너 삭제

악성 실행 파일이 있는 경우 제거해야 합니다.

1. 감염된 모든 장치에서 감지된 파일을 삭제합니다.

코인 마이너 수정 비디오

이 비디오에서는 이 워크플로에 대해 설명합니다.