포스팅 내용

국내외 보안동향

피해자의 컴퓨터가 채굴에 적합한지, 랜섬웨어에 적합한지 판단하는 악성코드 발견

New Virus Decides If Your Computer Good for Mining or Ransomware


보안 연구원들이 가상화폐 채굴기와 랜섬웨어 중 어떤 것이 더 수익성이 좋을지 판단한 후 시스템을 감염시키는 흥미로운 악성코드를 발견했습니다.


랜섬웨어는 피해자의 컴퓨터를 잠그고 암호화 된 데이터에 접근하지 못하도록 해 사용자는 돈을 지불하고 복호화 키를 받아야만 다시 파일을 복구할 수 있게 됩니다. 하지만 가상화폐 채굴기는 감염 된 시스템의 CPU 파워를 활용해 가상화폐를 채굴합니다.


랜섬웨어와 가상화폐 채굴 기반 공격 둘 다 2018년 가장 많이 발생하는 위협이며, 둘 모두 정교하지 않고, 불특정 다수를 타겟으로 한 돈을 벌기 위한 공격이며, 가상 화폐와 관련 되어 있다는 점이 유사합니다.


하지만, 랜섬웨어의 경우 피해자가 귀중한 파일을 가지고 있지 않을 경우, 공격자들은 돈을 받아낼 수 없을 확률이 높기 때문에, 범죄자들은 피해자의 컴퓨터를 활용해 가상화폐를 캐내는 쪽으로 공격 방식을 변경하고 있습니다.


Kaspersky Labs의 연구원들이 Rakhni 랜섬웨어 패밀리의 새로운 변종을 발견했습니다. 이는 더욱 업그레이드 되어 가상화폐 채굴 기능까지 추가되었습니다.


<이미지 출처 : https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html>


델파이 프로그래밍 언어로 작성 된 이 Rakhni 악성코드는 MS 워드 파일을 첨부한 스피어 피싱 이메일을 통해 배포 되고 있습니다. 파일이 오픈 되면, 피해자에게 문서를 저장하고 편집을 활성화 하라고 안내합니다.


이 문서는 PDF 아이콘을 포함하고 있습니다. 이를 클릭하면 피해자의 컴퓨터에서 악성 실행파일을 실행하고 가짜 에러 메시지 창을 표시해, 피해자가 문서를 여는데 필요한 시스템 파일이 누락 되었다고 생각하게 만듭니다.



악성코드가 수행할 작업을 결정하는 방법


그러나, 악성코드는 백그라운드에서 안티 VM 및 안티 샌드박스 검사를 수행해 발각 되지 않고 시스템을 감염시킬 수 있을지 여부를 확인합니다. 조건을 만족하면, 최종 페이로드를 랜섬웨어로 할 것인지 채굴기로 할 것인지 결정하기 위한 추가 확인을 합니다.


1) 랜섬웨어 설치 – 타겟 시스템의 AppData 섹션에 ‘Bitcoin’ 폴더가 있을 경우 랜섬웨어를 설치합니다. RSA-1024 암호화 알고리즘을 이용해 파일을 암호화 하기 전, 악성코드는 미리 정의 된 인기있는 프로그램의 목록과 매칭 되는 모든 프로세스를 종료시킨 후 텍스트파일 랜섬노트를 표시합니다.


2) 가상화폐 채굴기 설치 – ‘Bitcoin’ 폴더가 존재하지 않고, 기기에 두 개 이상의 논리 프로세서가 있을 경우 가상화폐 채굴기를 설치합니다. 시스템이 가상화폐 채굴기에 감염 되면, MinerGate 유틸리티를 사용해 모네로(XMR), 모네로 오리지널(XMO), 대시코인(DSH) 가상화폐를 백그라운드에서 채굴합니다.


<이미지 출처 : https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html>


이 외에도, 악성코드는 CertMgr.exe 유틸리티를 사용해 Microsoft Corporation 및 Adobe Systems Incorporated에서 발생했다고 주장하는 가짜 루트 인증서를 설치합니다. 이는 채굴기를 신뢰할 수 있는 프로세스로 위장하기 위한 시도인 것으로 보입니다.


3) 웜 컴포넌트 활성화 – ‘Bitcoin’ 폴더가 없고 논리 프로세서가 하나만 있을 경우 웜 컴포넌트를 활성화 합니다. 이 컴포넌트는 악성코드가 공유 리소스를 사용하는 로컬 네트워크 상의 모든 컴퓨터에 자기자신을 복사할 수 있도록 합니다.


감염 형태와 관계 없이, 악성코드는 나열 된 안티바이러스 프로세스가 실행 될 경우 검사를 수행합니다. 시스템에서 AV 프로세스가 발견 되지 않으면, 악성코드는 몇 개의 cmd 커맨드를 실행해 Windows Defender를 비활성화하려고 시도합니다.



스파이웨어 기능도 포함 되어 있어


“또 다른 흥미로운 사실은, 이 악성코드가 스파이웨어 기능도 포함하고 있다는 것입니다. 메시지에는 실행 중인 프로세스 목록과 스크린샷 첨부파일이 포함 되어 있었습니다.”


이 악성코드는 주로 러시아 (95.5%)의 사용자들을 노리고 있었으며, 카자흐스탄 (1.36 %), 우크라이나 (0.57 %), 독일 (0.49 %) 및 인도 (0.41 %)에서도 감염자가 발견 되었습니다.


이러한 공격으로부터 피해를 입지 않으려면, 이메일에 포함 된 의심스러운 파일이나 링크를 절대 오픈해서는 안 됩니다. 또한 적절한 백업 루틴을 유지하고, 안티 바이러스 소프트웨어를 항상 최신으로 유지하는 것이 좋습니다.


알약에서는 해당 악성코드들에 대해 Misc.Riskware.BitCoinMiner, Trojan.Ransom.Rakhni 등으로 탐지중에 있습니다. 



출처 : 

https://thehackernews.com/2018/07/cryptocurrency-mining-ransomware.html

https://securelist.com/to-crypt-or-to-mine-that-is-the-question/86307/



티스토리 방명록 작성
name password homepage