세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
삭제시키려면 시스템 마비시키는 채굴 코드, WinstarNssMMiner
  |  입력 : 2018-05-21 18:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
시스템 프로세스 두 개 만들고, 삭제 시도 발견 시 시스템 마비시켜
어베스트나 카스퍼스키 등 유명 백신 나타나면 행동 멈춰


[보안뉴스 문가용 기자] 새로운 암호화폐 채굴 코드인 WinstarNssMMiner가 발견됐다. 채굴 행위를 사용자가 발견하고 종료시키려고 하면 컴퓨터를 마비시킨다고 한다. 컴퓨터 전문가가 아니라면 제거가 여간 어려운 것이 아니다.

[이미지 = iclickart]


이는 보안 업체 치후 360(Qihoo 360)이 발견한 것으로, 치후 측은 5월 16일자 블로그 포스트를 통해 이 멀웨어의 존재에 대해 알렸다. 현재까지 WinstarNssMMiner 운영자들이 벌어들인 수익은 133 모네로라고 한다. 이는 약 26500 달러에 해당하는 금액이다. 또한 3일 만에 약 50만 번의 공격 시도를 발견했을 정도로 공격자들이 광범위한 캠페인을 벌이고 있는 중이기도 하다.

WinstarNssMMiner는 오픈소스 채굴 코드인 XMRig를 기본으로 하고 있으며 두 개의 svchost.exe 시스템 프로세스를 만드는 것을 특징으로 하고 있다. 한 개는 채굴을 실시하기 위한 프로세스고 다른 하나는 백신 제품의 탐지를 피하기 위한 것이다.

하지만 가장 악질적인 건, WinstarNssMMiner를 제거하려고 하는 순간 악성 코드를 한 개의 svchost.exe 프로세스에 주입하고 특성을 CriticalProcess로 바꿈으로써 시스템이 마비되도록 하는 것이다. “이렇게까지 공격적이고 파괴적인 채굴 코드는 처음 봤습니다.” 치후 360의 반응이다.

WinstarNssMMiner 채굴 코드는 일반 멀웨어와 크게 다른 점을 보인다. “일반적으로 멀웨어라고 하면 최대한 들키지 않고 오랫동안 침투한 시스템에 남아 있으려고 합니다. 또한 지우려고 할 때마다 시스템을 마비시키는 행동은 하지 않았어요. 적어도 여태까지의 사이버 범죄자들은 그렇게까지 발악하는 걸 싫어했거든요. 이제 이런 수법이 유행이 될까봐 진지하게 걱정됩니다.” 보안 업체 와치가드(WatchGuard)의 보안 전문가인 마크 랄리버트(Marc Laliberte)의 설명이다.

“만약 치명적인 프로세스(CriticalProcess) 장난질을 흉내 내는 멀웨어들이 계속해서 등장한다면 아마 MS가 해당 프로세스의 원리를 통째로 바꿀 수밖에 없을 겁니다. 예상하기로는 특정 프로세스를 ‘치명적’이라고 판단할 수 있는 주체나 계정의 권한을 높일 것으로 보입니다. 즉 권한이 높아져야만 프로세스를 치명적이라고 판단하고 시스템을 종료시킬 수 있도록 만들지 않을까 합니다.”

WinstarNssMMiner의 유별난 특징은 이것만이 아니다. 어베스트나 카스퍼스키 등 유명 백신이 시스템에 설치되어 있는지 확인하고, 있으면 행동을 멈춘다. 그러나 이렇게까지 유명하지 않은 백신이 탐지될 경우, 이를 속이기 위한 작업을 실시한다. 즉 만만한 건 대충 속여가며 채굴 작업하고, 유명하고 성능이 좋은 건 그냥 회피한다는 것이다.

“또 하나 주목해야 할 건 단 3일 만에 50만 대의 컴퓨터를 감염시켰거나, 감염 시도 했다는 겁니다. 공격자들이 트래픽이 높은 웹사이트와 광고, 공공 와이파이 망을 적극적으로 노린 것으로 보입니다. 그게 아니라면 윈도우의 특정 취약점을 익스플로잇하는 기능을 가지고 있거나요.”

감염 경로나 코드 내용 등 아직 분석해야 할 것이 더 남아있긴 하지만 치후 360은 “채굴 코드 작성자들이 보다 공격적인 면모를 띄고 있다는 건 확실하다”고 경고한다. “앞으로 더 많은 채굴 행위들이 발견될 것만이 아니라, 더 많은 시스템을 망가트리거나 마비시키는 행위가 동반될 것으로 예상됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술