최근 비트코인에 대한 관심이 높아지면서 국내에서도 악성 비트코인 채굴 어플리케이션이 배포되고 있어 사용자들의 주의가 요구된다.
 
이번 BTC Miner 악성코드 관련 상세 분석 보고서를 발표한 NSHC(대표 허영일)의 Red Alert팀은 “국내 특정 웹 사이트를 통해 배포되는 것으로 발견되었으며 국내 백신, 언론사, 포털 사이트를 해킹대상으로 타깃해 2차 다운로드 파일의 경유지로 사용되고 있다”며 “감염 시스템에서는 악성코드의 제작자의 계정으로 채굴 어플리케이션이 동작하고 있다. 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다”고 조언했다.
 
분석 보고서는 국내 특정 웹 사이트를 다운로드 경유지로 사용해 생성된 파일과 드랍 된 파일의 흐름을 보여주고 있으며 다운로드 서버의 위치정보도 보여주고 있다. 대응 방안도 제시하고 있어 도움을 주고 있다.
 
Red Alert팀은 “기존에 보고되었던 ‘키로거 서비스’에서 사용하던 주의가 필요한 웹사이트 리스트가 동일하게 발견되었으며 해당 웹 사이트는 악성코드의 2차 공격을 위해 사용되는 것으로 확인됐다”며 “악성코드 1차 공격에는 서비스 및 레지스트리를 이용해 악성코드를 시스템에 자동실행으로 등록한다. 등록된 악성코드는 무한 루프를 돌며 특정 웹사이트에 ‘.jpg’를 가진 파일에 대해 다운로드를 시도하며 다운로드된 ‘.jpg’ 파일은 악성코드의 버전정보와 2차 공격에 사용될 악성코드의 다운로드 주소 및 로컬 다운로드 경로를 암호화해 저장하고 있다”고 설명했다.
 
특히 “리스트에 해당되는 웹사이트는 접속자 수가 많은 언론사, 백신, 포털 사이트, 게임 사이트 등이 해당되며 웹 해킹의 위협이 잠재되오니 웹 페이지 관리에 주의해야 한다”고 강조했다.
 
또 “BTC Miner‘의 시스템 감염동작은 기존 키로거 서비스로 보고된 악성코드와 대부분 일치하는 것으로 보여 동일 인물로부터 악성코드가 제작된 것으로 판단된다”며 “최종 악성코드의 동작만 비트코인 채굴기의 동작으로 변경되었다”고 설명했다.
 
결론적으로 “키로거 서비스 악성코드 이후 지속적으로 변경되어 동작하는 악성코드의 행동패턴을 보았을 때 악성코드 제작자는 이미 상당수 봇을 가지고 있으며 새로운 봇을 생성하는 작업보다 2차 공격용 악성코드를 배포하는 것으로 제작자에 입맛에 따라 공격대상이 변하고 있다. 이에 2차 악성코드 배포 경유지로 사용되는 웹 페이지 관리자들의 각별한 주의가 필요하다”고 덧붙였다.
 
BTC Miner 악성코드 분석 보고서는 Red Alert팀 페이스북 페이지에서 다운로드 가능하며 데일리시큐 자료실에서도 다운이 가능하다.
 
-Red Alert팀: www.facebook.com/nshc.redalert?ref=profile
 
데일리시큐 길민권 기자 mkgil@dailysecu.com