상세 컨텐츠

본문 제목

악성코드가 포함 된 BitTorrent 소프트웨어 업데이트, PC 40만대 하이잭 해

국내외 보안동향

by 알약(Alyac) 2018. 3. 15. 15:01

본문

Trojanized BitTorrent Software Update Hijacked 400,000 PCs Last Week


지난 주 대규모 악성코드 배포 사건으로 인해 약 50만대의 컴퓨터들이 단 몇 시간 안에 가상화폐 마이닝 악성코드에 감염 되었습니다. 이는 인기있는 BitTorrent 클라이언트인 MediaGet의 백도어가 포함 된 버전 때문이었던 것으로 밝혀졌습니다.


Dofoil(Smoke Loader라고도 알려짐)이라 명명 된 이 악성코드는 감염 된 윈도우 컴퓨터에 피해자의 CPU 사이클을 이용해 공격자의 일렉트로니움 디지털 코인을 채굴하는 가상화폐 마이닝 프로그램을 페이로드로써 드롭하는 것으로 나타났습니다. (Dofoil에 대한 자세한 내용은 3월 7일 MS 보고서에 포함 되어 있습니다.)


지난 주 Windows Defender 연구원들이 이 공격에 대한 보고서를 공개했을 때는, 12시간 만에 이러한 대규모 사태가 일어난 이유에 대해서는 언급하지 않았습니다.


하지만 조사가 완료 된 금일, 마이크로소프트는 공격자가 MediaGet BitTorrent 소프트웨어의 업데이트 메커니즘을 공격해 트로이목마가 포함 된 프로그램 버전 (mediaget.exe)를 사용자들의 컴퓨터에 push 했다고 밝혔습니다.


“서명 된 mediaget.exe 는 update.exe 프로그램을 다운로드하고 실행해 새로운 mediaget.exe 파일을 설치합니다. 새로운 mediaget.exe 프로그램은 오리지널 버전과 기능은 동일하지만, 백도어 기능이 포함 되어 있습니다.”


연구원들은 update.exe를 서명한 MediaGet은 서플라이 체인 공격(supply chain attack)을 당한 것 같다고 추측하고 있습니다. 이는 2017년 9월 사용자 230만명 이상을 백도어 버전으로 감염 시킨 CCleaner 핵 사건과 유사합니다.




<이미지 출처: https://cloudblogs.microsoft.com/microsoftsecure/2018/03/13/poisoned-peer-to-peer-app-kicked-off-dofoil-coin-miner-outbreak/>


또한 공격자들은 감염 된 update.exe를 또 다른 인증서로 서명했으며, 정식 MediaGet이 요구하는 검증 과정을 성공적으로 통과했습니다.


“드롭 된 update.exe는 트로이목마가 포함 된 mediaget.exe, update.exe가 내장 된 InnoSetup SFX패키지 입니다. 실행 되면 트로이목마를 포함하고 서명 되지 않은 버전의 mediaget.exe를 드랍합니다.”


업데이트 되면, 이 악성 BitTorrent 소프트웨어는 분산 된 Namecoin 네트워크 인프라에 호스팅 되는 C&C 서버 4곳 중 1곳에 랜덤으로 연결해 새로운 명령을 기다립니다.


그리고 C&C 서버로부터 CoinMiner 컴포넌트를 즉시 다운로드하고 피해자의 컴퓨터를 이용해 공격자의 가상화폐를 채굴하기 시작합니다.


공격자는 C&C 서버를 이용해 감염 된 시스템이 추가로 악성코드를 다운로드 및 설치할 수도 있습니다.


현재 알약에서는 해당 악성코드에 대하여 Ext.Freeware.MediaGet, Misc.Riskware.BitCoinMiner, Trojan.Downloader.Dofoil.gen로 탐지중에 있습니다. 





출처 :

https://thehackernews.com/2018/03/windows-malware-hacking.html

https://cloudblogs.microsoft.com/microsoftsecure/2018/03/13/poisoned-peer-to-peer-app-kicked-off-dofoil-coin-miner-outbreak/



관련글 더보기

댓글 영역