세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
삭제시키려면 시스템 마비시키는 채굴 코드, WinstarNssMMiner
  |  입력 : 2018-05-21 18:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
시스템 프로세스 두 개 만들고, 삭제 시도 발견 시 시스템 마비시켜
어베스트나 카스퍼스키 등 유명 백신 나타나면 행동 멈춰


[보안뉴스 문가용 기자] 새로운 암호화폐 채굴 코드인 WinstarNssMMiner가 발견됐다. 채굴 행위를 사용자가 발견하고 종료시키려고 하면 컴퓨터를 마비시킨다고 한다. 컴퓨터 전문가가 아니라면 제거가 여간 어려운 것이 아니다.

[이미지 = iclickart]


이는 보안 업체 치후 360(Qihoo 360)이 발견한 것으로, 치후 측은 5월 16일자 블로그 포스트를 통해 이 멀웨어의 존재에 대해 알렸다. 현재까지 WinstarNssMMiner 운영자들이 벌어들인 수익은 133 모네로라고 한다. 이는 약 26500 달러에 해당하는 금액이다. 또한 3일 만에 약 50만 번의 공격 시도를 발견했을 정도로 공격자들이 광범위한 캠페인을 벌이고 있는 중이기도 하다.

WinstarNssMMiner는 오픈소스 채굴 코드인 XMRig를 기본으로 하고 있으며 두 개의 svchost.exe 시스템 프로세스를 만드는 것을 특징으로 하고 있다. 한 개는 채굴을 실시하기 위한 프로세스고 다른 하나는 백신 제품의 탐지를 피하기 위한 것이다.

하지만 가장 악질적인 건, WinstarNssMMiner를 제거하려고 하는 순간 악성 코드를 한 개의 svchost.exe 프로세스에 주입하고 특성을 CriticalProcess로 바꿈으로써 시스템이 마비되도록 하는 것이다. “이렇게까지 공격적이고 파괴적인 채굴 코드는 처음 봤습니다.” 치후 360의 반응이다.

WinstarNssMMiner 채굴 코드는 일반 멀웨어와 크게 다른 점을 보인다. “일반적으로 멀웨어라고 하면 최대한 들키지 않고 오랫동안 침투한 시스템에 남아 있으려고 합니다. 또한 지우려고 할 때마다 시스템을 마비시키는 행동은 하지 않았어요. 적어도 여태까지의 사이버 범죄자들은 그렇게까지 발악하는 걸 싫어했거든요. 이제 이런 수법이 유행이 될까봐 진지하게 걱정됩니다.” 보안 업체 와치가드(WatchGuard)의 보안 전문가인 마크 랄리버트(Marc Laliberte)의 설명이다.

“만약 치명적인 프로세스(CriticalProcess) 장난질을 흉내 내는 멀웨어들이 계속해서 등장한다면 아마 MS가 해당 프로세스의 원리를 통째로 바꿀 수밖에 없을 겁니다. 예상하기로는 특정 프로세스를 ‘치명적’이라고 판단할 수 있는 주체나 계정의 권한을 높일 것으로 보입니다. 즉 권한이 높아져야만 프로세스를 치명적이라고 판단하고 시스템을 종료시킬 수 있도록 만들지 않을까 합니다.”

WinstarNssMMiner의 유별난 특징은 이것만이 아니다. 어베스트나 카스퍼스키 등 유명 백신이 시스템에 설치되어 있는지 확인하고, 있으면 행동을 멈춘다. 그러나 이렇게까지 유명하지 않은 백신이 탐지될 경우, 이를 속이기 위한 작업을 실시한다. 즉 만만한 건 대충 속여가며 채굴 작업하고, 유명하고 성능이 좋은 건 그냥 회피한다는 것이다.

“또 하나 주목해야 할 건 단 3일 만에 50만 대의 컴퓨터를 감염시켰거나, 감염 시도 했다는 겁니다. 공격자들이 트래픽이 높은 웹사이트와 광고, 공공 와이파이 망을 적극적으로 노린 것으로 보입니다. 그게 아니라면 윈도우의 특정 취약점을 익스플로잇하는 기능을 가지고 있거나요.”

감염 경로나 코드 내용 등 아직 분석해야 할 것이 더 남아있긴 하지만 치후 360은 “채굴 코드 작성자들이 보다 공격적인 면모를 띄고 있다는 건 확실하다”고 경고한다. “앞으로 더 많은 채굴 행위들이 발견될 것만이 아니라, 더 많은 시스템을 망가트리거나 마비시키는 행위가 동반될 것으로 예상됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#채굴   #코드   #마이너   #삭제   #난리   #진상   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)