PC
가전
가전
PC
고정공지
(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.
놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
윈도정보 공격자들에겐 여전히 핫(hot)한 그것?!
작성자: 구피 조회 수: 237 PC모드
공격자들에겐 여전히 핫(hot)한 그것?!
한 동안 투자를 넘어 투기 열풍이 불던 가상화폐(암호화폐, Cryptocurrency) 시장은 최근 들어 다소 진정되는 양상이다, 특히 얼마 전 가상화폐 거래소 2곳의 대표와 임원들이 체포됐다는 소식이 전해지면서 가상화폐 투자에 대한 신중론이 힘을 얻고 있다. 그렇다고 가상화폐에 대한 관심이 줄어든 것은 아니다. 가상화폐와 관련된 보안 위협이 지속적으로 나타나고 있는 것이 그 방증이다. 가상화폐 채굴 악성코드가 잇따라 발견되고 있으며, 가상화폐 매매 프로그램으로 위장한 악성코드까지 등장했다. 최근 확인된 가상화폐 관련 보안 위협을 정리했다.
가상화폐 매매 프로그램으로 위장한 악성코드
좀 더 편리한 가상화폐 거래 방식을 찾는 사람들이 늘어나면서 이른바 가상화폐 매매 프로그램들이 등장했다. 봇(Bot)을 기반으로 한 자동 거래 프로그램부터 웹 브라우저의 확장 기능인 BHO(Browser Helper Object) 형태의 프로그램까지 방식도 다양하다.
가상화폐 매매 프로그램을 찾는 사람들이 늘어나면서 최근 이로 위장한 악성코드가 나타났다. 공격자는 국내 모 가상화폐 정보 공유 커뮤니티 사이트에 홍보글로 위장한 게시물을 올렸다. [그림 1]은 해당 게시물로, 가상화폐 매매 프로그램을 홍보하는 것처럼 위장하고 있으며 다운로드 링크를 통해 피싱 사이트로의 연결을 유도하고 있다.
[그림 1] 피싱 사이트 유도를 위한 허위 게시물
이렇게 연결된 피싱 사이트는 실제 가상화폐 매매 프로그램과 동일한 소스를 이용해 치밀하게 제작되었으며, URL 또한 최상위 도메인(정상 사이트는 .io, 피싱 사이트는 .net 사용)만 달라 사용자로서는 가짜 사이트임을 인지하기 어렵다.
정상 매매 프로그램과 마찬가지로 압축 파일 형태로 다운로드되는데, 공격자는 압축 파일 내부에 조작된 악성 실행 파일을 첨부했다. 또 해당 악성 파일이 실행되는 동안 사용자 화면에는 정상 매매 프로그램의 실행 파일이 생성되기 때문에 사용자로서는 감염 사실을 알아차리기 더욱 어렵다. 이렇게 사용자 시스템에 감염된 악성코드는 시스템의 시작프로그램에 자기 자신을 등록하는 한편, 사용자 시스템의 IP 주소 등 시스템 정보를 수집, 전송한다.
사용자 몰래 가상화폐 채굴하는 공격 잇따라
사용자 몰래 사용자 시스템의 자원을 이용해 가상화폐를 채굴하는 공격이 다양한 모습으로 지속되고 있다. 최근에도 토렌트를 통해 가상화폐 채굴 악성코드가 유포되었으며, 웹 브라우저 취약점을 이용해 블로그 방문자 몰래 가상화폐를 채굴하는 사례도 확인됐다.
[그림 2]는 국내 모 토렌트 사이트에서 최신 음원으로 위장해 유포된 가상화폐 채굴 악성코드 파일이다.
[그림 2] 토렌트 사이트를 통해 유포된 가상화폐 채굴 악성코드
[그림 2]의 파일을 다운로드하여 압축을 해제하면 [그림 3]과 같은 폴더가 나타난다. 여기에서 음원 파일은 암호가 설정되어 있어 함께 첨부된 ‘암호확인.exe’ 파일을 실행하도록 유도하고 있다. 이때 암호확인 실행 파일의 아이콘을 V3의 아이콘으로 위장해 사용자들이 방심하도록 하고 있다.
[그림 3] 압축 해제된 폴더
또 이 악성 파일이 실행되는 동안 [그림 4]와 같이 한국어, 영어, 일본어로 ‘프로그램이 로딩하는데 시간이 걸리는 종료하지 말아달라’는 메시지를 노출해 악성 파일이 실행 중단되는 것을 방지하는 등의 치밀함을 보이고 있다.
[그림 4] 사용자의 의심을 피하기 위한 아이콘 도용 및 메시지 노출
파일을 다운로드 하지 않고도 웹 브라우저의 취약점을 이용해 가상화폐를 채굴하는 방식도 지속적으로 나타나고 있다. 최근에는 일반적인 블로그로 위장해 위젯을 삽입해 동작하는 방식의 채굴 프로그램이 확인됐다.
해당 블로그는 내용상 별 다른 문제가 없는 것처럼 보이지만 페이지를 맨 아래로 내리면 [그림 5]와 같이 위젯이 동작하고 있다.
[그림 5] 블로그 페이지 하단에 존재하는 위젯
해당 블로그의 소스코드를 확인한 결과, 아이프레임(iFrame)을 이용해 가상화폐를 채굴하는 위젯을 삽입했다. 해당 위젯이 동작하면 블로그 방문자 몰래 시스템 자원을 이용해 특정 가상화폐 채굴을 시작한다. 특히 이 위젯은 가상화폐 채굴 시 CPU 사용량을 낮게 설정해 둬 사용자가 이상한 점을 느낄 수 없게 하고 있다. 이처럼 웹 브라우저 상에서 동작하는 가상화폐 채굴프로그램은 해당 사이트에 접속하는 순간부터 웹 브라우저 창을 닫을 때까지 행위를 계속한다.
가상화폐에 대한 사람들의 관심을 이용한 보안 위협이 지속적으로 나타나고 있는 만큼 사용자들의 각별한 주의가 요구된다. 웹 브라우저 취약점 등을 이용한 공격이나 악성 파일을 다운로드하는 공격의 피해를 최소화하기 위해서는 평소 주요 운영체제 및 응용 프로그램의 최신 보안 패치를 반드시 적용해야 한다. 이와 함께 백신 프로그램의 엔진 버전을 최신 상태로 유지하고 실시간 감시 기능을 사용하는 것이 바람직하다. 특히 V3의 피싱 사이트 차단 또는 의심스러운 사이트 접근 차단 등의 기능을 활용하는 것도 좋다.
자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다
문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
