포스팅 내용

악성코드 분석 리포트

Misc.Riskware.BitCoinMiner 악성코드 분석 보고서

안녕하세요? 이스트시큐리티입니다.


전세계적으로 가상 화폐가 열풍인 가운데, 가상 화폐를 채굴하는 악성코드가 지속적으로 확인되고 있습니다. 특히 이번에 발견된 악성코드는 ‘모네로(XMR)’ 가상 화폐를 채굴하는 악성코드로, 자신의 활동을 숨기기 위해 프레임워크를 가지고 있는 점이 특징입니다. 따라서 본 보고서에서는 ‘Misc.Riskware.BitCoinMiner’ 악성코드의 상세 분석 내용을 다루고자 합니다.


이번 악성코드는 국내에서 불특정 다수를 대상으로 한 악성 메일에서 유포된 것으로 확인되었습니다. 악성 메일에 첨부된 바로가기 파일(.lnk)의 대상 값을 통하여 모네로 채굴기인 dog.exe 악성코드가 실행되도록 유도합니다. 다음은 바로가기 파일의 속성 정보입니다.



[그림 1] 모네로 채굴 악성코드를 실행하는 바로가기 아이콘 파일



악성코드 상세 분석


프로세스 전체 흐름도

바로가기 아이콘 파일에 의해 실행되는 악성코드는 1개의 Binary Block 1개과 4개의 PE IMAGE로 구성된 프레임워크를 가지고 있습니다. 다음은 악성코드에서 동작하는 방식에 대한 흐름도입니다.



[그림 2] 악성코드 전체 흐름도



dog.exe 상세 분석

본 악성코드는 사전 설정된 값에 따라 자가 복제, 프로세스 인젝션, 백신 확인 및 UAC 우회, 자동 실행 등록 등의 다양한 기능을 수행하지만, 여러 기능 중 실제 사용되는 프로세스 인젝션 기능을 다룹니다.


1) 프로세스 인젝션

공격자가 설정한 옵션에 따라 자식 프로세스 생성 및 인젝션을 하는 기능입니다. 다음은 프로세스 인젝션을 수행하는 코드입니다.

 


[그림 3] 프로세스 인젝션 코드의 일부



자식 프로세스 dog.exe 상세 분석

dog.exe에서 실행된 자식 프로세스는 자동 실행 등록과 정상 프로세스에 모네로 채굴기를 인젝션을 수행합니다.


1) 자가 복제 및 자동 실행 등록

자동 실행 등록 전, ‘C:\Users\(사용자 계정)\AppData\Local\’ 경로에 ‘AIMDKitteh’ 하위 ‘mymonero.exe’로 자가 복제합니다.


 

[그림 4] 자가 복제 및 자동 실행 등록



윈도우 부팅 시 자동 실행되도록 자가 복제 된 파일을 자동 실행 레지스트리의 ‘UgRhmjYGcw’로 등록합니다. 다음은 사용되는 레지스트리와 등록된 키입니다.



 자동 실행 레지스트리 경로와 등록된 키

 HKCU\Software\Microsoft\Windows\CurrentVersion\Run

   UqRhmjYGcw = “C:\Users\(사용자 계정)\AppData\Local\AIMDKI~1\mymonero.exe"

[표 1] 자동 실행 레지스트리 경로


생성된 레지스트리에 변경이 있을 경우 다음 코드를 통하여 재등록합니다.


 

[그림 5] 자동 실행 재등록 코드의 일부



2) 프로세스 인젝션

2-1) taskmgr.exe 프로세스 확인

인젝션하기 전 현재 실행 중인 프로세스에 ‘taskmgr.exe’ 프로세스가 있는지 확인합니다. 만일 존재할 경우, 인젝션을 하지 않고, ‘taskmgr.exe’ 프로세스가 종료될 때까지 대기합니다. ‘taskmgr.exe’는 작업 관리자 프로세스로 사용자로부터 자신의 활동을 숨기기 위함으로 보여집니다.


 

[그림 6] taskmgr.exe 프로세스 확인



2-2) 운영체제 환경에 따른 프로세스 인젝션

인젝션 대상 프로세스는 운영체제 환경에 따라 결정됩니다. 다음은 인젝션 대상을 결정하는 코드의 일부입니다.


 

[그림 7] 운영체제 환경에 따른 인젝션 프로세스 대상 결정



다음은 운영체제 환경 조건 별 인젝션 프로세스 경로 표입니다.



 운영 체제

 인젝션 프로세스 경로

 Windows Vista 이상의 64비트 운영체제

 %WINDIR%\\notepad.exe

 %WINDIR%\\explorer.exe



 Windows Vista 미만의 64비트 운영체제

 %WINDIR%\\SysWOW64\\wuapp.exe

 %WINDIR%\\SysWOW64\\svchost.exe

 32비트 운영체제 %WINDIR%\\System32\\wuapp.exe
 %WINDIR%\\System32\\svchost.exe

[표 2] 조건 별 인젝션 대상 프로세스 경로


조건에 부합하는 임의의 프로세스에 인젝션 기능을 진행합니다. 다음은 인젝션 코드입니다.


 

[그림 8] 인젝션 코드의 일부



인젝션 대상 프로세스에 인자를 전달하여 모네로 채굴기를 실행합니다. 전달되는 인자는 다음과 같습니다.



 인젝션 인자

 "C:\Windows\System32\wuapp.exe" -o monerohash.com:3333 -u <가상 계좌> -p x -v 0 -t 1

[표 3] 채굴기에 전달하는 인자



모네로 채굴기 분석

인젝션되어 실행되는 모네로 채굴기는 오픈소스로 제공되고 있는 XMRig 3.2 버전으로 모네로 가상화폐를 채굴하는 기능을 수행합니다. 실행 시 전달되는 인자 ‘-o monerohash.com:3333 -u <가상 계좌> -p x -v 0 -t 1’는 다음 설명과 같습니다.



 인자

  설명

 -o

 마이닝 URL
 -u 가상 계좌
 -p 마이닝 서버의 패스워드
 -v 알고리즘
 -t 마이너 쓰레드 개수

[표 4] 모네로 채굴기 인자 값 설명


인자값을 통해 악성코드에서 공격자의 가상 계좌가 발견됩니다. 확인된 공격자의 가상 계좌에서는 약 3.47 XMR(약 230만원)을 소유하고 있습니다.


 

[그림 9] 공격자의 모네로 계좌 정보




결론


악성 메일을 통해 유포된 모네로 채굴기는 정형화된 프레임워크로서 제작자의 옵션을 통하여 악성 행위를 위한 여러 가지 기능이 구현되어 있습니다. 은폐 기능으로 정상 프로세스에 인젝션하는 기능을 사용합니다. 앞서 언급한 바와 같이, 본 악성코드에서 사용되지 않는 기능도 있기 때문에 쉽게 다른 변종을 만들 수 있습니다.


따라서 사용자들은 감염이 되지 않기 위해서는 출처가 불분명한 이메일에 있는 링크 및 첨부 파일에 대해 열람을 삼가야 합니다. 또한 백신 업체들은 이러한 다계층화된 프레임워크를 대비한 연구가 필요합니다.

티스토리 방명록 작성
name password homepage