PC
가전
가전
PC
고정공지
(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.
놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
윈도정보 ‘익스플로잇 킷’과 ‘스모크로더’ 장착한 채굴 악성코드
작성자: 구피 조회 수: 128 PC모드
‘익스플로잇 킷’과 ‘스모크로더’ 장착한 채굴 악성코드
현재 개인 사용자뿐만 아니라 기업에도 피해를 입히는 대표적인 악성코드를 꼽으라면 랜섬웨어와 암호화폐(Cryptocurrency, 가상화폐) 채굴 악성코드라 할 것이다. 한국인터넷진흥원이 발표한 자료에 따르면 올해 상반기에 유포된 랜섬웨어와 암호화폐 채굴 악성코드의 비율이 비슷한 수준으로 나타났다. 이들 두 악성코드는 유포 수는 물론, 타깃(피해 대상)과 유포 방식까지 매우 닮아가고 있다. 최근에는 멀버타이징 기법을 통한 랜섬웨어 유포로 유명해진 취약점 도구(익스플로잇 킷, Exploit Kit)를 이용해 암호화폐 채굴 악성코드가 유포됐다. 이와 관련해 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 최근 발표한 2018년 3분기 ASEC 리포트에서 익스플로잇 킷과 스모크로더를 이용한 암호화폐 채굴 악성코드에 대해 상세히 소개했다.
지난 연말부터 사용자 몰래 시스템의 리소스를 이용해 암호화폐를 채굴(Mining)하는, 이른바 마이너(Miner) 악성코드가 지속적으로 증가하고 있을 뿐만 아니라 다양한 공격 기법을 활용하고 있는 추세다. 최근에는 리그 익스플로잇 킷(RIG Exploit Kit)과 스모크로더(Smoke Loader)를 이용한 암호화폐 채굴 악성코드가 확인됐다. 리그 익스프로잇 킷은 다양한 취약점을 이용하여 악성 프로그램을 유포하는 공격 툴로, 매트릭스(Matrix), 케르베르(Cerber)에 이어 최근의 갠드크랩(GandCrab) 랜섬웨어 유포에도 이용된 바 있다. 스모크로더는 또 다른 악성코드를 추가로 다운로드하는 드롭퍼(Dropper)류의 악성코드로, 초기에는 주로 정보 유출을 목적으로 했으나 이후 랜섬웨어에 이어 최근에는 암호화폐를 채굴하는 악성코드를 다운로드하는데 이용되고 있다.
리그 익스플로잇 킷과 스모크로더를 이용해 대표적인 암호화폐 중 하나인 모네로(Monero)를 채굴하는 마이너 악성코드의 유포 방식부터 쉘코드 동작까지 상세한 공격 과정을 살펴본다.
마이너 악성코드 유포에 이용된 취약점 및 파일
공격자는 모네로 암호화폐를 채굴하는 마이너 악성코드 유포에 리그 익스플로잇 킷(RIG Exploit Kit, 이하 RIG EK)을 사용했다. RIG EK는 다수의 취약점을 이용하는 공격 툴로, 이번 마이너 악성코드 유포에는 인터넷 익스플로러(Internet Explorer, IE) 관련 취약점인 CVE-2018-8174, CVE-2016-0189와 어도비 플래시 플레이어(Adobe Flash Player) 취약점인 CVE-2018-4878을 이용했다. CVE-2018-8174는 최근 빈번하게 이용되는 취약점 중 하나로, 윈도우 VB 스크립트 엔진의 원격 코드 실행 취약점이다. 공격자는 이들 취약점과 스크립트(Script) 파일, 플래시 파일(SWF), 및 실행 파일(Portable Executable, PE)을 이용해 마이너 악성코드를 감염시켰다.
해당 마이너 악성코드의 감염 경로는 보안이 취약한 웹사이트나 온라인 광고 사이트로, 앞서 랜섬웨어 감염에 사용됐던 멀버타이징(Malvertising) 기법도 이용됐다. 이렇게 감염되면 사용자 PC에 스모크로더가 다운로드 및 실행되어 모네로 채굴 프로그램(Monero Miner)을 추가로 설치하며, 이를 통해 암호화폐 채굴이 진행된다. 이 마이너 악성코드의 감염 및 동작 과정을 요약하면 [그림 1]과 같다.
[그림 1] 마이너 악성코드 공격 과정
리그 익스플로잇 킷(RIG EK)의 취약점 공격 과정
사용자가 최신 보안 패치가 적용되지 않은 웹 브라우저를 이용해 손상된 웹사이트에 접속하거나 안전하지 않은 광고 페이지를 접속하면 CVE-2018-8174 취약점을 이용해 공격이 시도된다. RIG EK를 이용한 취약점 공격 과정은 [그림 2]와 같이 크게 4단계로 구분할 수 있다.
[그림 2] 4단계로 진행되는 취약점 공격
■ 1단계: 특정 랜딩 페이지로 이동(Redirection)
- HTTP 헤더에 포함된 로케이션(Location) 정보에 의해 자동으로 특정 페이지로 리다이렉션(Redirection)된다.
■ 2단계: 취약점 공격 사이트로 이동(Redirection)
- 이전 단계에서 리다이렉션된 사이트에 포함된 아이프레임 태그(<iframe>)에 의해 사용자 몰래 취약점 공격 사이트에 접속한다.
■ 3단계: 취약점 공격 명령 실행
- 이전 단계의 취약점 공격 사이트에는 공격의 성공 가능성을 높이기 위해 CVE-2018-8174, CVE-2018-4878, CVE-2016-0189 등 3개의 취약점을 공격하는 코드가 존재하며 순차적으로 실행된다. 사용자의 시스템에 해당 취약점과 관련된 패치가 적용되어 있지 않으면 취약점이 발현되어 쉘코드가 실행된다. 이때 쉘코드는 각 취약점별로 제작되어 있으며, 이 쉘코드가 악성 파일을 다운로드하고 실행한다.
■ 4단계: 취약점 공격 파일 다운로드 및 실행
- 3개의 취약점 중 CVE-2018-4878은 어도비 플래시 플래이어 취약점으로, 이를 이용한 공격 시 플래시 파일이 필요하다. 따라서 이전 단계에서 실행된 쉘코드가 취약점 공격 사이트에서 플래시 파일을 추가로 다운로드하고 실행한다.
[그림 3] CVE-2018-8174 취약점 공격에 사용된 쉘코드
스모크로더(SmokeLoader) 다운로드 및 실행
위의 4단계를 거쳐 취약점 공격에 성공하면 공격자는 사용자 시스템의 웹 브라우저 제어가 가능해진다. 공격자는 사용자 시스템의 웹 브라우저에서 쉘코드를 실행한다. 이렇게 실행된 쉘코드는 [그림 4]와 같이 스크립트 정보를 인수로 포함한 CMD 프로그램을 실행한다.
CMD 프로그램이 실행되면 추가로 실행될 스크립트 명령을 %TEMP%\T32.tmp 파일에 저장하고, 윈도우 스크립트 프로그램(WScript)을 이용하여 파일을 실행한다. 이때 스크립트 명령에는 스모크로더를 웹 서버로부터 사용자 시스템에 다운로드하고 실행하도록 하는 명령이 포함되어 있다.
사용자 시스템에 다운로드된 스모크로더가 실행되면 자신을 레지스트리에 등록해 시스템을 다시 시작할 때마다 자동으로 실행되도록 한다. 해당 스모크로더는 보안 솔루션의 탐지를 회피하기 위해 감염 시스템의 환경을 확인하며, 주기적으로 C&C 서버에 접속하여 새로운 악성 파일을 다운로드하고 실행한다.
[그림 4] 쉘코드에 의해 실행된 CMD 프로그램
이 스모크로더의 주요 기능 및 동작 방식을 요약하면 다음과 같다.
1) 실행 환경 검사
다음과 같이 감염 시스템의 환경 조건을 확인하여 자기 자신의 실행을 중단하거나 특정 프로그램을 종료시킨다.
- 윈도우 운영체제 버전 확인: 비스타(Windows Vista) 이하의 운영체제에서 실행 중이면 자신을 종료한다.
- 가상 머신(Virtual Machine) 여부 확인: 특정 경로에 특정한 값이 포함되어 있는지 확인하여 가상 머신 여부를 판단하고, 가상 머신일 경우 자기 자신을 종료한다.
- 분석 프로그램 실행 여부 확인: 주요 분석 프로그램의 실행 여부를 프로세스 목록 및 윈도우 클래스(Window Class) 목록에서 확인한 후 해당 프로그램을 종료시킨다.
2) 자가 복제
자기 자신의 파일을 ‘%APPDATA%\Microsoft\Windows\[랜덤경로]\[랜덤파일명].exe’ 경로에 복제한다.
3) 자동 실행 등록
자동 실행 폴더에 링크 파일(.LNK)을 생성하여 시스템 재부팅 이후에도 복제된 파일이 자동으로 동작할 수 있게 등록한다.
4) 인터넷 접속 가능 여부 확인
특정한 URL로 접속을 시도함으로써 인터넷 사용이 가능한지 확인한다. 접속이 불가능한 경우, 6초 간격으로 접속 재시도를 반복한다.
5) 악성 프로그램 추가 다운로드
C&C 서버에 접속하여 추가 악성 프로그램을 ‘%TEMP%\[랜덤경로]\wuauclt.exe’ 경로에 다운로드하고 실행한다.
모네로 채굴 프로그램(Monero Miner)을 이용한 가상화폐 채굴
위와 같은 과정을 통해 스모크로더는 C&C 서버로부터 모네로 채굴 프로그램을 다운로드하고 실행한다. 이렇게 실행된 모네로 채굴 프로그램은 시스템이 재부팅될 때마다 자동으로 동작하기 위해 자기 자신을 레지스트리 경로에 복제한다. 또한 자신의 코드를 정상 프로그램인 윈도우 업데이트 애플리케이션 런처(Windows Update Application Launcher, Wuapp.exe)에 인젝션해 사용자가 감염 사실을 알 수 없도록 한다. 이때 인젝션되는 코드는 메모리 분석 기술에 의한 탐지를 피하기 위해 PE 파일의 일부 헤더 정보를 제거한 UPX 형태로 제작되어 있다.
모네로 채굴 프로그램은 암호화폐 채굴 시 한 개의 쓰레드와 싱가폴에 위치한 서버인 ‘sg.mimexmr.com:4444’를 마이닝 풀(Mining Pool)로 사용한다. 이 마이닝 풀은 CPU/GPU 리소스를 적게 사용하도록 설정된 포트로, 사용자가 암호화폐 채굴 프로그램이 실행 중인 것을 알지 못하게 하기 위함이다. ASEC의 확인 결과, 현재 이 채굴 프로그램의 마이닝 풀은 부정 사용 계정으로 차단되어 있어 암호화폐 채굴이 불가능하다.
다양한 취약점 이용하는 마이너 악성코드, 변화무쌍한 스모크로더도 주의해야
최근 개인뿐만 아니라 기업의 시스템을 노리는 마이너 악성코드 유포가 증가하고 있다. 기업의 서버와 같이 고사양의 시스템이 암호화폐 채굴에 효과적이기 때문이다. 기업의 서버나 업무 시스템이 마이너 악성코드에 감염 될 경우, 단순히 시스템 성능 저하의 문제가 아니라 비즈니스 생산성과 연속성에 문제가 될 수 있다.
이번 마이너 악성코드의 감염 과정에 등장한 스모크로더는 다양한 파일을 다운로드할 수 있다는 점도 우려할 부분이다. 이번에는 암호화폐 채굴 프로그램을 다운로드했지만 공격자의 의도에 따라 랜섬웨어나 백도어의 설치도 가능하기 때문에 정보 유출이나 시스템 파괴 등 더 큰 피해를 가져올 수 있다.
한편, 이번 사례에서 살펴본 바와 같이 마이너 악성코드도 랜섬웨어를 비롯한 대부분의 악성코드와 같이 운영체제나 소프트웨어의 취약점을 이용한다. 최근에는 윈도우뿐만 아니라 맥OS, 젠킨스, 아파치 스트럿츠2, 아파치 톰캣 등 주요 오픈소스 운영체제의 취약점을 이용한 사례도 꾸준히 증가하고 있다. 따라서 기업 및 기관에서는 임직원의 보안 의식 제고를 위해 노력하는 한편, 사내에서 이용하고 있는 운영체제 및 주요 소프트웨어의 최신 보안 패치를 효율적으로 적용하고 관리할 수 있는 방안을 마련해야 한다.
자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다
문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
정보 고맙습니다