보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

이더리움 클래식 코인 노린다! 코인 마이너 악성코드 유포

입력 : 2023-01-18 17:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
안랩 ASEC 분석팀, ‘이더리움 클래식 코인 채굴하는 코인 마이너 공격 사례’ 발표
이더리움 코인 마이너 2개, 이더리움 클래식 코인 마이너 4개 등 분석


[보안뉴스 김영명 기자] 최근 이더리움 클래식 코인을 마이닝하는 악성코드들이 확인되고 있어 사용자들의 주의가 필요하다. 코인 마이너 악성코드는 사용자의 인지 없이 설치돼 시스템의 자원을 이용해 가상화폐를 채굴하는 악성코드로, 감염 시스템의 성능 저하를 유발한다.

코인 마이너를 유포하는 공격자들은 이러한 행위 자체가 불법이기 때문에 추적을 방해하기 위해 주로 모네로(Monero)와 같이 익명성을 보장하는 코인을 마이닝하는 경향이 있다. 이에 따라 실제 공격에서 확인되는 코인 마이너 악성코드들은 모네로 코인 마이너 도구인 XMRig가 다수를 차지하고 있다.

▲코인 마이너 악성코드 실행 흐름도[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀은 국내외를 대상으로 유포되고 있는 코인 마이너 악성코드들을 모니터링하고 있으며, 과거에 다양한 유형의 코인 마이너 악성코드 공격사례를 소개한 바 있다. 이러한 가운데 ASEC 분석팀에서 최근 이더리움 클래식 코인을 마이닝하는 악성코드들을 다수 발견한 것이다.

물론 모네로만큼은 아니라고 하더라도 다양한 코인들을 채굴하는 마이너가 공격에 사용될 수 있다. 대표적으로 이더리움 코인이 있는데, 이더리움은 비트코인에 이어 두 번째로 시가총액이 큰 가상화폐다. 대표적인 가상화폐이다 보니 다양한 채굴 도구들이 존재하는데, lolMiner 외에 Gminer, NbMiner, Trex, PhoenixMiner 등이 이더리움 코인에 대한 마이닝을 지원했다.

참고로 지난해 9월에 이더리움은 합의 메커니즘을 작업 증명(Proof of Work, PoW) 방식에서 지분 증명(Proof of Stake, PoS) 방식으로 전환하는 업그레이드가 진행됐다. 즉, 과거에는 채굴 도구를 이용해 CPU 및 GPU와 같은 시스템의 자원을 소모하면서 복잡한 연산을 푸는 작업 증명 방식을 통해 코인을 보상으로 받았지만, 이제는 지분 증명 방식으로 전환됨에 따라 마이닝 과정을 필요로 하지 않는다.

이더리움은 과거 The DAO 해킹 사건 이후 2016년 7월 하드포크 과정을 통해 신규 버전, 즉 현재의 이더리움과 기존 버전 즉 이더리움 클래식으로 나뉘었다. 지분 증명 방식으로 전환된 것은 이더리움이고, 이더리움 클래식은 아직도 작업 증명 방식을 사용하고 있다.

모네로 코인에 비해 상대적으로 적은 수량이지만 이더리움 코인과 이더리움 클래식 코인을 채굴하는 마이너 악성코드는 과거부터 꾸준히 유포되고 있었다. 비록 이더리움 코인에 대한 채굴이 불가능해져 이더리움 코인을 채굴하는 마이너는 사라졌지만, 이더리움 클래식 코인은 아직 채굴이 가능하기 때문에 이를 채굴하는 마이너 악성코드들은 최근까지도 유포되고 있다. 다양한 채굴 도구들은 이더리움 외에 이더리움 클래식을 함께 지원하기 때문에 현재까지도 공격자들이 채굴에 사용하고 있다.

먼저, ‘이더리움 코인 마이너 공격 사례’는 △디스코드를 이용한 유포 사례 △dnSpy 툴을 위장한 공격 사례 등으로 나눌 수 있다. 디스코드를 이용한 유포 사례로는 2021년 공격자가 로블록스 게임 핵으로 위장해 국내 사용자들을 대상으로 디스코드를 통해 유포한 바 있으며, 다양한 악성코드들과 함께 사용자 시스템에 lolMiner를 설치해 이더리움 코인을 채굴했다.

▲lolMiner를 이용해 이더리움 코인을 마이닝하는 악성코드[자료=안랩 ASEC 분석팀]


dnSpy 툴을 위장한 공격 사례로는 지난해 1월에는 오픈소스 닷넷 바이너리 분석 도구인 dnSpy를 위장한 악성코드가 유포됐으며, 여기에 이더리움을 마이닝하는 코인 마이너가 포함됐다. 블리핑 컴퓨터(Bleeping Computer)에 따르면 공격자는 깃허브뿐만 아니라 공식 홈페이지로 위장한 사이트를 생성해 사용자들이 악성코드가 포함된 dnSpy를 설치하도록 유도했다.

실제 악성코드는 압축 파일에 존재하는 다양한 모듈 중에서 dnspy.dll 파일의 내부에 존재한다. 사용자가 dnSpy를 실행할 경우 dnSpy.dll이 로드돼 내부에 존재하는 dnSpyPlus.exe라는 이름을 갖는 난독화된 닷넷 다운로더를 메모리상에 로드해 실행하는 구조다. dnSpyPlus는 작업 스케줄러에 다양한 명령들을 등록해 주기적으로 동작하게 한다.

▲다수의 악성코드를 설치하는 dnSpy 악성코드[자료=안랩 ASEC 분석팀]


등록되는 명령들은 Defender Control(Windows Defender 비활성화 도구), Quasar RAT, ClipBanker, 이더리움 마이너를 포함한 다양한 악성코드들을 설치하는 명령들이다. 해당 공격 방식의 특징이라고 한다면 작업 스케줄러에 VBS 명령을 등록해 mshta로 실행시킨다는 점과 악성코드 설치에 curl을 이용한다는 점이 있다.

설치되는 여러 악성코드 중에서 m.exe는 코인 마이너 악성코드로서, 동일 경로에 NbMiner를 생성하고 설정 정보를 포함한 인자와 함께 실행시켜 감염 시스템에서 이더리움 코인을 채굴한다.

▲이더리움 코인을 채굴하는 NbMiner 악성코드[자료=안랩 ASEC 분석팀]


그 다음으로 ‘이더리움 클래식 코인 마이너 공격 사례’가 있다. 안랩 ASEC 분석팀에서는 최근 코인 마이너 악성코드들을 모니터링하던 중 이더리움 클래식 코인을 마이닝하는 악성코드가 유포되고 있는 것을 확인했다고 밝혔다. 최초 유포 방식은 확인되지 않지만, Curl을 이용해 다운로드돼 설치되는 것과 연관 파일들 중에 Defender Control, ClipBanker 등 dnSpy로 위장해 유포됐던 사례와 유사한 형태라는 점이 확인됐다.

▲Curl을 이용해 설치되는 이더리움 클래식 마이너(좌)와 포럼에 게시된 감염 시스템 정보(우)[자료=안랩 ASEC 분석팀]


이외에도 연관 정보를 확인하던 중 실제 폴란드의 IT 포럼인 elektroda.pl에서 해당 악성코드의 실제 감염 사례를 확인할 수 있었다는 게 안랩 ASEC 분석팀의 설명이다. 작업 스케줄러에 등록된 명령들을 보면 안랩 ASD(AhnLab Smart Defense) 인프라 로그에서 확인된 파일의 경로명과 다운로드 주소와 같으며, 등록된 다양한 명령들이 실제 dnSpy 위장 악성코드 사례와 거의 유사한 것을 알 수 있다는 얘기다.

구체적으로 살펴보면 VBS 명령을 실행하는 mshta를 작업 스케줄러에 등록해 동작시키는 방식과 윈도 디펜더를 비활성화시키는 다수의 명령들이 등록된다는 점이 있다. 그리고 Curl을 이용해 악성코드를 다운로드한다는 점과 설치되는 악성코드들의 유형이 거의 동일하다. 다만, 차이점이 있다면 기존에는 이더리움 코인을 채굴하는 마이너가 사용된 것과 달리 최근 확인되고 있는 형태는 이더리움 클래식 코인을 채굴한다는 점이다.

각 주소마다 다운로드되는 파일이 달라지긴 하지만, 확인된 주소에서 설치되는 유형은 이더리움 클래식 코인 마이너, ClipBanker 유형과 윈도 디펜더 비활성화 도구인 Defender Control이 있다. 이외에도 RAT 및 인포스틸러 유형의 악성코드들도 설치된다.

설치되는 악성코드 가운데 첫 번째로 ‘이더리움 클래식 코인 마이너’가 있다. 설치되는 코인 마이너 악성코드들은 ‘%APPDATA%\DnsCache\dnsCleaner.exe’ 경로에 생성된다. dnsCleaner.exe는 드로퍼 악성코드로서 동일한 경로에 dnscache.exe라는 이름으로 코인 마이너를 생성한 후 인자를 주고 실행시킨다. 생성되는 코인 마이너는 lolMiner를 설치하는 유형도 있고 PhoenixMiner를 설치하는 유형도 있다.

▲lolMiner 실행 인자[자료=안랩 ASEC 분석팀]


두 번째로 ‘CLIPBANKER’가 있다. ClipBanker는 클립보드의 데이터를 비교해 만약 가상자산의 지갑 주소인 경우 이를 공격자의 지갑 주소로 변경하는 유형의 악성코드다. ClipBanker는 감염 시스템에서 동작하면서 현재 사용자가 복사한 데이터 즉, 클립보드가 문자열인 경우 다음과 같은 정규 표현식에 매칭되는지를 검사한다.

▲클립보드 문자열 비교에 사용되는 정규 표현식[자료=안랩 ASEC 분석팀]


각각의 정규 표현식은 비트코인, 이더리움, 라이트코인 등 다양한 코인들의 지갑 주소를 검증하는데 사용된다. 만약 정규 표현식에 매칭되는 경우에는 공격자의 지갑 주소로 변경한다. 참고로 NEO 코인의 지갑 주소와 이더리움의 지갑 주소가 동일한 것이 특징이다.

세 번째로 ‘QUASAR RAT’이 있다. 이전의 위장 dnSpy 유포 사례처럼 Quasar RAT은 최근까지도 사용되고 있다. 공격자는 ‘OldBot’이라는 이름 즉 태그를 붙인 Quasar RAT을 공격에 사용했다. Quasar RAT의 명령제어(C2) 서버 주소는 위의 루틴에서 확인되는 외부 주소에서 구한다. 실제 해당 웹사이트에 접속해 보면 Quasar RAT의 C2 서버 주소를 확인할 수 있다.

▲OldBot 태그를 갖는 Quasar RAT(좌)와 Quasar RAT C&C 주소가 업로드된 웹페이지(우)[자료=안랩 ASEC 분석팀]


네 번째로 ‘VIDAR INFOSTEALER’ 악성코드가 있다. 공격자는 VIDAR는 계정 정보 외에도 웹 히스토리, 쿠키, 가상화폐 지갑 주소 등의 다양한 사용자 정보를 탈취하는 인포스틸러 악성코드로서 정보 탈취 외에 추가 악성코드를 설치하는 다운로더 기능도 지원한다.

최근 유포되고 있는 VIDAR는 Steam, Telegram, Mastodon과 같은 다양한 플랫폼을 활용해 C2 주소를 구한다. 공격에 사용된 VIDAR가 접속하는 Steam 및 Mastodon 프로필 웹 페이지에는 아직도 C2 주소가 적혀 있는 것을 알 수 있다.

▲VIDAR 악성코드의 C2 주소[자료=안랩 ASEC 분석팀]


과거 dnSpy로 위장한 악성코드를 유포해 이더리움 코인을 채굴했던 공격자는 최근 채굴이 불가능해지면서 이더리움 클래식 코인을 채굴하는 것으로 전략을 변경한 것으로 추정된다. 현재 유포 방식은 확인되지 않지만, 공격자는 과거 공식 홈페이지로 위장한 웹사이트를 유포 경로로 사용한 이력이 있다.

이와 관련 안랩 ASEC 분석팀은 “사용자들은 알려지지 않은 경로에서 다운로드한 실행 파일을 각별히 주의해야 하며, 유틸리티와 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다”며 “또한, OS와 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트해 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다”고 당부했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)