|
글꼴 폴더 속에 숨어드는 가상화폐 채굴 악성코드 확산 중 AhnLab ASEC 대응팀 l 2018-10-24
현재 일반 사용자들을 가장 위협하고 있는 보안 위협을 꼽으라면 여전한 랜섬웨어와 나날이 늘어나는 가상화폐(암호화폐, Cryptocurrency) 채굴 악성코드다. 지난 2017년 연말부터 가상화폐 채굴 공격이 늘어나고 있는 가운데, 특히 올해 초 등장했던 ‘워너마인(WannaMine)’이 현재까지 꾸준히 유포되고 있어 사용자들의 주의가 필요하다.
최근 빈번하게 발생하고 있는 가상화폐 채굴 공격 방식은 크게 ▲정상 프로그램으로 위장하여 유포되는 가상화폐 채굴 악성코드와 ▲보안이 취약한 시스템을 통해 웹사이트를 방문한 경우 해당 시스템의 자원을 이용해 가상화폐를 채굴하는 방식인 크립토재킹(CryptoJacking)으로 구분할 수 있다.
현재 유포되고 있는 워너마인도 시스템의 보안 취약점을 통해 접근하여 악성 스크립트를 실행한다. 공격자는 운영체제나 소프트웨어의 최신 보안 패치가 적용되지 않은 시스템을 공격 대상으로 삼아 해당 시스템에서 악성 스크립트를 실행해 악성 실행 파일을 다운로드하고 실행한다. 워너마인의 공격 과정을 간략히 정리하면 [그림 1]과 같다.
[그림 1] 워너마인 공격 과정
감염 PC에서 실행된 악성 스크립트가 공격자 서버로부터 다운로드한 악성 실행 파일은 윈도우 운영체제의 관리 프로그램인 WMIC(Windows Management Instrumentation Command-lin)를 이용해 감염 시스템의 CPU 정보를 확인한다.
이후 파일 다운로드 프로그램을 이용해 악성코드를 추가로 다운로드한다. 이때 추가 악성코드는 [그림 2]와 같이 윈도우 운영체제의 글꼴이 저장되어 있는 경로(C:\Windows\Fonts\)에 다운로드된다. 이는 글꼴 폴더에서 글꼴 파일 외의 다른 파일은 표시되지 않는 점을 이용해 사용자가 감염 사실을 눈치채기 어렵게 하기 위함으로 보인다. 이렇게 글꼴 폴더에 숨어든 것은 윈도우 운영체제의 권한 상승 취약점을 실행하는 악성 파일과 가상화폐 채굴 프로그램이다.
[그림 2] 글꼴 폴더에 생성된 파일 목록
이렇게 글꼴 폴더에 생성된 svchost.exe (C:\Windows\Fonts\svchost.exe)는 윈도우 운영체제의 정상 프로세스의 이름을 하고 있지만 실제로는 C:\Windows\Fonts\ManagemnetAgnetHost.exe를 실행하여 사용자 몰래 가상화폐의 한 종류인 모네로를 채굴하여 공격자의 지갑 주소에 저장한다.
또한 워너마인은 가상화폐를 채굴하는 동시에 공격자의 서버로부터 또 다른 악성 파일을 다운로드한다. 이렇게 다운로드 된 RecentFileProgrom.exe는 지난해 전세계 워너크라이 랜섬웨어 감염 사태로 유명해진, 일명 ‘이터널블루(EternalBlue)’라고 불리는 SMB 취약점 공격 도구이다.
RecentFileProgrom.exe이 실행되면 내부 네트워크 대역을 스캔하여 연결된 시스템에 대해 SMB 취약점 공격을 시도한다. 만일 내부 네트워크로 연결된 시스템 중 MS17-010 취약점에 대한 보안 패치를 적용하지 않은 시스템이 있을 경우, 파일 공유 프로토콜(SMB)을 통해 서버와 연결된 시스템으로 가상화폐 채굴 악성코드가 확산될 수 있다. RecentFileProgrom.exe는 일련의 과정을 거쳐 최종적으로는 파워쉘을 실행하고 가상화폐를 채굴한다.
V3 제품군에서는 아래와 같은 진단명으로 워너마인 악성코드를 탐지하고 있다.
<V3 제품군 진단명> Malware/Win32.Generic Trojan/Win64.CoinMiner Trojan/Win32.ShadowBrokers Trojan/Win32.Dynamer
[그림 3] 가상화폐 채굴로 인한 CPU 사용량 증가
가상화폐 채굴 악성코드에 감염되면 사용자는 특별한 이유 없이 시스템이 매우 느리다고 느낄 수 있다. 대부분의 가상화폐 채굴 악성코드는 [그림 3]과 같이 시스템 자원의 대부분을 사용하기 때문에 시스템 속도가 느려지고 사용성을 저하시킨다. 이러한 피해를 예방하기 위해서는 평소 운영체제와 소프트웨어(응용 프로그램)의 최신 보안 패치를 적용해야 한다. |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| 진짜는 진짜를 알아보는 법? 감쪽같은 피싱 인사이드! (0) | 2018.11.03 |
|---|---|
| 언제쯤 자율주행 자동차를 경험해볼 수 있을까? (0) | 2018.11.03 |
| 블록체인으로 ‘팬心’을 엮다…사기극부터 사회공헌까지 (0) | 2018.10.31 |
| 전설의 괴물 이름 딴 크라켄 크립터 랜섬웨어, 파일 흔적까지 파괴 (0) | 2018.10.30 |
| 다수의 보안 프로그램 무력화하는 악성코드 유포 중...주의! (0) | 2018.10.29 |
