2024-03-29 07:05 (금)
국내 불특정 다수에 유포된 가상화폐 채굴 악성코드 분석 해보니
상태바
국내 불특정 다수에 유포된 가상화폐 채굴 악성코드 분석 해보니
  • 길민권 기자
  • 승인 2018.01.29 21:39
이 기사를 공유합니다

가상화폐 채굴 악성코드가 지속적으로 확인되고 있다. 특히 최근 발견된 악성코드는 ‘모네로(XMR)’ 가상 화폐를 채굴하는 악성코드로 자신의 활동을 숨기기 위해 프레임워크를 가지고 있는 점이 특징이다.

다음은 이스트시큐리티가 분석한 ‘Misc.Riskware.BitCoinMiner’ 악성코드에 대한 상세 내용이다. 분석 내용은 다음과 같다.

이번 악성코드는 국내에서 불특정 다수를 대상으로 한 악성 메일에서 유포된 것으로 확인되었다. 악성 메일에 첨부된 바로가기 파일(.lnk)의 대상 값을 통해 모네로 채굴기인 dog.exe 악성코드가 실행되도록 유도한다. 다음은 바로가기 파일의 속성 정보다.

e-1.jpg

바로가기 아이콘 파일에 의해 실행되는 악성코드는 1개의 바이너리 블록 1개와 4개의 PE IMAGE로 구성된 프레임워크를 가지고 있다. 다음은 악성코드에서 동작하는 방식에 대한 흐름도다.

e-2.jpg

이 악성코드는 사전 설정된 값에 따라 자가 복제, 프로세스 인젝션, 백신 확인 및 UAC 우회, 자동 실행 등록 등의 다양한 기능을 수행하지만, 여러 기능 중 실제 사용되는 프로세스 인젝션 기능을 다룬다.

공격자가 설정한 옵션에 따라 자식 프로세스 생성 및 인젝션을 하는 기능이다. 다음은 프로세스 인젝션을 수행하는 코드다.

e-3.jpg

자식 프로세스 dog.exe 상세 분석

dog.exe에서 실행된 자식 프로세스는 자동 실행 등록과 정상 프로세스에 모네로 채굴기를 인젝션을 수행한다.

1) 자가 복제 및 자동 실행 등록

자동 실행 등록 전, ‘C:Users(사용자 계정)AppDataLocal’ 경로에 ‘AIMDKitteh’ 하위 ‘mymonero.exe’로 자가 복제한다.

e-4.jpg

윈도우 부팅 시 자동 실행되도록 자가 복제 된 파일을 자동 실행 레지스트리의 ‘UgRhmjYGcw’로 등록합니다. 다음은 사용되는 레지스트리와 등록된 키입니다.

자동 실행 레지스트리 경로와 등록된 키

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

UqRhmjYGcw = “C:Users(사용자 계정)AppDataLocalAIMDKI~1mymonero.exe"

생성된 레지스트리에 변경이 있을 경우 다음 코드를 통해 재등록한다.

e-5.jpg

2) 프로세스 인젝션

2-1) taskmgr.exe 프로세스 확인

인젝션하기 전 현재 실행 중인 프로세스에 ‘taskmgr.exe’ 프로세스가 있는지 확인한다. 만일 존재할 경우, 인젝션을 하지 않고, ‘taskmgr.exe’ 프로세스가 종료될 때까지 대기한다. ‘taskmgr.exe’는 작업 관리자 프로세스로 사용자로부터 자신의 활동을 숨기기 위함으로 보여진다.

e-6.jpg

2-2) 운영체제 환경에 따른 프로세스 인젝션

인젝션 대상 프로세스는 운영체제 환경에 따라 결정된다. 다음은 인젝션 대상을 결정하는 코드의 일부다.

e-7.jpg

다음은 운영체제 환경 조건 별 인젝션 프로세스 경로표다.

e-8.jpg

조건에 부합하는 임의의 프로세스에 인젝션 기능을 진행한다. 다음은 인젝션 코드다.

e-9.jpg

인젝션 대상 프로세스에 인자를 전달하여 모네로 채굴기를 실행한다. 전달되는 인자는 다음과 같다.

인젝션 인자

"C:WindowsSystem32wuapp.exe" -o monerohash.com:3333 -u <가상 계좌> -p x -v 0 -t 1

[표 3] 채굴기에 전달하는 인자

모네로 채굴기 분석

인젝션되어 실행되는 모네로 채굴기는 오픈소스로 제공되고 있는 XMRig 3.2 버전으로 모네로 가상화폐를 채굴하는 기능을 수행한다. 실행 시 전달되는 인자 ‘-o monerohash.com:3333 -u <가상 계좌> -p x -v 0 -t 1’는 다음 설명과 같다.

e-10.jpg

인자값을 통해 악성코드에서 공격자의 가상 계좌가 발견된다. 확인된 공격자의 가상 계좌에서는 약 3.47 XMR(약 230만원)을 소유하고 있다.

e-11.jpg

이스트시큐리티 측은 “악성 메일을 통해 유포된 모네로 채굴기는 정형화된 프레임워크로서 제작자의 옵션을 통해 악성 행위를 위한 여러 가지 기능이 구현되어 있다. 은폐 기능으로 정상 프로세스에 인젝션하는 기능을 사용한다. 앞서 언급한 바와 같이 이번 악성코드에서 사용되지 않는 기능도 있기 때문에 쉽게 다른 변종을 만들 수 있다”며 “사용자들이 감염되지 않기 위해서는 출처가 불분명한 이메일에 있는 링크 및 첨부 파일에 대해 열람을 하지 않아야 한다. 또한 백신 업체들은 이러한 다계층화된 프레임워크에 대비한 연구가 필요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★