Home > 전체기사
복잡한 암호화폐 채굴 코드 레몬덕, 최근 활동량 급증
  |  입력 : 2020-10-15 10:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
레몬덕, 2018년부터 활동 시작해 아시아 국가들 사이에서 피해 일으켜
최근 다시 활동량 많아져...다양한 침투 방법과 모듈 있어 유연성 높아


[보안뉴스 문가용 기자] 최근 레몬덕(Lemon Duck)이라는 암호화폐 채굴 봇넷의 활동량이 심상치 않게 증가했다고 시스코 탈로스(Cisco Talos) 팀의 보안 전문가들이 경고했다. 레몬덕은 피해자의 컴퓨팅 리소스를 활용해 모네로를 채굴하는 악성 소프트웨어다.

[이미지 = utoimage]


전문가들에 의하면 레몬덕은 현존하는 채굴 봇넷들 중 가장 복잡하게 구성된 것 중 하나라고 한다. 채굴 외에도 여러 가지 기능을 포함하고 있기 때문이다. 레몬덕은 2018년 12월 경부터 활동을 시작한 것으로 보이는데, 현재까지 아시아 국가들에서 주로 활동했다. 특히 이란, 이집트, 필리핀, 베트남, 인도에서 피해가 큰 것으로 나타났다.

이번에 시스코 탈로스 팀이 포착한 레몬덕 봇넷은 정부 기관 한 곳, 도소매 기업 한 곳, 기술 분야 기업 한 곳인 것으로 나타났다. 이 세 곳에서 발견된 레몬덕은 3월 후반부터 지속적으로 활동한 것으로 보인다. 그리고 파워셸 요소들로부터 로딩되는 모듈들을 포함하고 있었다. 이중에는 코로나 관련 피싱 메일을 보내 레몬덕을 확산시키는 기능을 가진 모듈도 있었다. 코로나가 사이버 공격자들에게 얼마나 좋은 재료로서 활용되고 있는지를 또 다시 보여주는 사례다.

레몬덕은 최소 12개의 감염 전략을 가지고 있다. 이는 그 어떤 멀웨어보다 많은 수다. SMB(서버 메시지 블록), 원격 데스크톱 프로토콜 비밀번호의 브루트포싱, 악성 첨부파일이 포함된 이메일, RDP 블루킵(BlueKeep) 취약점 익스플로잇(CVE-2019-0708), 레디스(Redis)라는 오픈소스의 취약점 익스플로잇, 얀 하둡(YARN Hadoop) 익스플로잇 등이 포함되어 있다.

최초 침투에 성공한 이후 공격자들은 파워셸 기반의 로딩 스크립트를 피해자의 시스템에 다운로드 시킨다. 이 때 bpu라는 함수를 활용해 윈도 디펜더의 실시간 탐지 기능을 꺼버리고, powershell.exe를 ‘스캐닝 제외 대상 프로세스’ 목록에 삽입한다. bpu는 로딩 스크립트가 관리자 권한을 가지고 실행되는지도 확인한다. 만약 그렇다면 페이로드가 추가로 다운로드 된다. 관리자 권한이 아니라면 기존 시스템 실행파일들을 활용해 다음 단계의 공격을 이어간다.

레몬덕의 주력 페이로드는 모듈 구성이다. 즉 필요에 따라 추가 기능들을 C&C 서버에서 불러와 실행할 수 있다는 뜻이다. 여기에는 피해자의 그래픽카드 정보를 추출해 보내는 모듈도 포함되어 있다. 만약 GTX, 엔비디아, 지포스, AMD, 라데온과 같은 GPU들이 발견되지 않는다면 CPU 기반의 채굴 스크립트를 다운로드 받아 실행시킨다. GPU가 발견된다면 GPU 기반 채굴 스크립트를 실행한다.

그 외에도 “꽤나 야심찬” 기능인 ‘유포 모듈’도 존재한다. 말 그대로 레임덕을 다른 시스템으로 옮기는 것으로, 약 1만 줄이 넘는 파이선 코드로 만들어졌으며, 인스톨러, 프로세스 삭제, 다른 채굴 봇넷 탐지 및 삭제 기능을 포함하고 있다. 이메일을 통해 스스로를 퍼트리는 모듈도 있다. 이 이메일은 코로나와 관련된 가짜 이메일을 자동으로 생성한다. 이 이메일에는 악성 첨부파일이 있다.

여태까지 잘 알려지지 않았지만 레몬덕에는 리눅스 시스템을 겨냥한 기능도 포함되어 있다고 한다. 리눅스 기반 호스트를 감염시킨 뒤에 발동되는 것으로, 배시 스크립트 두 개의 형태로 존재한다. 첫 번째 배시 스크립트는 감염시킨 시스템에 대한 정보를 수집하고 채굴 멀웨어인 XM리그(XMRig)의 리눅스 버전을 다운로드 받는다. 두 번째 배시 스크립트는 다른 암호화폐 채굴 멀웨어를 찾아 종료시킨다.

시스코 탈로스 팀은 “암호화폐 채굴 멀웨어는 랜섬웨어처럼 즉각적인 피해를 일으키지는 않아 눈에 덜 띄는 편이지만 장기적으로 각종 자원을 소모하여 더 큰 피해를 끼칠 수도 있다”고 경고한다. “장비가 최대한으로 가동되니 평소보다 느려지고 성능이 저하됩니다. 또한 그 과정에서 전기세나 통신비가 과도히 나갈 수도 있고, 장비 교체 시기도 빨라집니다. 피해 누적이 감당하기 힘들 정도가 될 수 있으며, 따라서 최대한 빨리 제거해야 하는 위협입니다.”

3줄 요약
1. 암호화폐 채굴 코드 레몬덕, 최근 활동량 급증.
2. 레몬덕은 각종 모듈을 포함하고 있어, 구성이 상당히 복잡하다는 특성 가지고 있음.
3. 암호화폐 채굴 코드의 즉각적 피해 규모는 얼마 되지 않지만 누적 피해는 큼.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 한해 동안 가장 큰 관심을 갖고 있는 보안 분야는 무엇인가요?
인공지능(AI) 보안
비대면(언택트) 보안
데이터3법/개인정보보호
빅데이터 보안
클라우드 보안
자율주행차 보안
사물인터넷 보안
스마트시티 보안
기타(댓글로)