세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] 가장 성행하고 있는 암호화폐 채굴 코드 7
  |  입력 : 2018-02-24 17:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
남의 시스템으로 채굴 하는 공격자들...멀웨어 심거나 웹사이트 침해하거나
합법적으로 개발됐으나 악용되기도...여러 조직의 서버로 봇넷 구성


[보안뉴스 문가용 기자] 암호화폐 채굴 행위가 새로운 유형의 사이버 공격으로 떠오르고 있다. 그것도 전 세계 공통이다. 암호화폐 열기는 해커들도 피해가지 못했기 때문이다. 이들은 피해자들을 노리고 협박하는 대신 몰래 기기를 빌려 자신을 위한 채굴 장비로 변환시키기 시작했다.

[이미지 = 영화 Gold 스틸컷]


물론 물리적으로 장비를 가져가는 건 아니다. 기기 자체는 분명 피해자의 손에 있지만, 그 성능과 배터리(즉 전기세)는 해커를 위한 것이 된다. 그렇게 만들기 위해서 해커들은 여러 가지 방법을 사용하지만, 그 중 요즘 가장 흔한 건 채굴 코드를 심는 것이다. 채굴 코드가 심긴 기기는 거대한 암호화폐 채굴 봇넷의 일원이 된다. 암호화폐 종류로 보자면 모네로(Monero)가 가장 인기가 많다.

그 다음으로 흔한 건 웹사이트에 채굴 툴을 심고 방문자의 컴퓨터 자원을 몰래 채굴에 쓰는 것이다. 이 경우도 모네로가 가장 인기가 높긴 하지만 다른 암호화폐에 대한 채굴 행위도 곧잘 발견된다. 보안 업체 임퍼바(Imperva)가 이번 주 발표한 바에 의하면 작년 12월에 발견된 원격 코드 실행 공격의 88%가 웹사이트를 통한 암호화폐 채굴과 관련된 것이었다고 한다.

공격자들 사이에 나타나고 있는 이러한 트렌드는 개인과 사업체들 모두에게 큰 영향을 미치고 있다. 좋은 영향은 아니다. 일단 이러한 공격에 당하면 시스템 자원이 채굴에 동원되기 때문에 정상적으로 업무를 진행하기가 힘들다. 서비스가 극심히 느려지거나 마비된다. 이번 주 보안 업체 체크포인트(Check Point)는 전 세계 조직들 중 23%가 코인하이브(Coinhive)라는 채굴 툴에 당한 적이 있다고 발표했다. 이는 깜짝 놀랄 정도로 높은 수치다.

본지는 이번 주 발표된 다양한 보고서를 참조하여 현재 가장 인기가 높은 암호화폐 채굴 코드 혹은 봇넷을 정리해보았다. 순서는 무작위다.

코인하이브(Coinhive)
코인하이브는 암호화폐 채굴 코드로 전 세계 수천 개 웹사이트에 주입되어 있는 상태다. 사용자에게 코인하이브가 존재함을 알리고 사용 허락을 받은 웹사이트도 있지만 그렇지 않은 곳이 훨씬 더 많다. 오리지널 코인하이브는 모네로를 채굴하는 기능을 가지고 있지만, 그 후 등장한 응용 버전은 다른 코인을 채굴하기도 한다.

일부 웹사이트에서는 방문자에게 고지한다는 사실에서도 눈치 챌 수 있었겠지만, 코인하이브 자체가 악성 코드인 것은 아니다. Coinhive.com에서 합법적으로 개발하고 배포하고 있는 코드다. 배너 광고 외에 웹사이트 운영자들에게 수익거리를 제공하고자 만들어졌다. 방문자들은 광고 없이 깨끗한 웹 서핑을 할 수 있게 된다. 그러나 방문자의 허락을 구하는 절차가 무시되자 많은 웹사이트들에서 코인하이브를 악성 코드인 것처럼 차단하기 시작했다.

여기에 해커들은 한술 더 떴다. 사이트 운영자들이 방문자들에게 허락을 구하지 않았다면, 이들은 사이트 운영자들에게 아무런 허가도 구하지 않고 코인하이브를 심었다. 주인도 모르고 방문자도 모르는 채굴 웹사이트들은 이런 식으로 탄생했고, 좋은 목적으로 만들어진 코인하이브도 점점 멀웨어 취급 받기 시작했다.

코인하이브는 브라우저 내에서 작동하며, 자바스크립트로 만들어졌다. 하지만 웹사이트만이 아니라 구글 플레이스토어에서 유통되는 안드로이드용 앱 19개에서도 발견됐다. 그 중 한 개 앱은 10만 번에서 50만 번 다운로드 된 바 있다고 보안 업체 시놉시스(Synopsys)의 보안 전략가인 테일러 아머딩(Taylor Armerding)은 설명한다.

또 다른 보안 업체 리스크IQ(RiskIQ)는 “약 5만 개의 웹사이트에서 코인하이브가 발견되고 있다”고 한다. 제품 관리 책임을 맡고 있는 밤시 굴라팔리(Vamsi Gullapalli)는 “사이트 관리자가 직접 주입한 것도 있고, 침해된 서드파티 애플리케이션 등을 통해 아무도 모르게 주입된 경우도 많다”고 설명한다.

스모민루(Smominru)
스모민루는 모네로를 채굴하는 봇넷으로, 약 52만 개의 윈도우 시스템으로 구성되어 있는데 대부분은 서버들이다. 이 봇넷의 운영자들은 NSA로부터 유출된 이터널블루(EternalBlue) 익스플로잇을 사용해 시스템을 감염시키고, 스모민루 채굴 코드를 심는다. 이것이 심기는 순간 봇넷의 구성원이 된다. 스모민루 봇넷을 발견하고 분석한 건 보안 업체 프루프포인트(Proofpoint)다.

스모민루 봇넷은 1월 말경에 이미 8900 모네로를 채굴했다. 그 시점 기준으로 약 2백 8십만 달러에 해당한다. 프루프포인트는 스모민루 봇넷이 하루에 약 24 모네로를 채굴하는 것으로 계산하고 있다. 약 8500달러 정도 되는 금액이다. 서버를 주로 침해하고 채굴에 활용하기 때문에 피해가 클 것으로 예상된다.

워너마인(WannaMine)
지난 10월 보안 업체 팬더 시큐리티(Panda Security)가 발견한 워너마인 역시 모네로를 채굴한다. 팬더 시큐리티에 의하면 워너마인은 컴퓨터 프로세서와 RAM을 최대한으로 활용하기 때문에 한 번 감염되면 해당 시스템으로 작업을 하기가 정말 어려워진다고 설명한다.

또 다른 보안 업체 크라우드스트라이크에 의하면 워너마인은 미미캐츠(Mimikatz)라는 크리덴셜 수집 툴을 사용하기 때문에 기업 네트워크에 침투해 횡적으로 움직일 수도 있다고 한다. 미미캐츠가 잘 통하지 않을 경우 NSA의 이터널블루 익스플로잇도 활용한다. 프로세스를 최대한으로 활용하는 것뿐만 아니라 네트워크 내에서도 최대한 많은 시스템을 채굴에 동원시키려는 것이다.

아딜커즈(Adylkuzz)
NSA의 이터널블루와 더블 펄사(Double Pulsar) 익스플로잇이 유출된 후 나타난 초창기 멀웨어는 워너크라이 랜섬웨어다. 그 바로 다음에 등장한 것이 아딜커즈로, 이터널블루와 더블 펄사가 사용되었다는 것 때문에 이미 지난 5월부터 상당한 관심을 받은 바 있다. 아딜커즈도 모네로를 채굴한다. 피해 시스템 내 모든 SMB 통신을 차단함으로써 다른 멀웨어가 자신을 삭제하거나 무력화시키지 못하도록 한다.

보안 업체 프루프포인트에 의하면 아딜커즈는 이미 전 세계 수천~수만 대의 시스템에 침투해 있는 상태다. 감염시킨 시스템 수만 따지면 워너크라이보다 규모가 크다고 보고 있기도 하다.

JSE코인(JSECoin)
JSE코인은 코인하이브와 비슷한 자바스크립트 기반의 채굴 도구로, 역시 사이트 운영자가 광고 대신(혹은 광고에 더하여) 수익을 내는 데 도움을 주기 위하여 만들어졌다. 코인하이브와 비슷하게, 방문자가 JSE코인이 심긴 사이트를 방문하면, 그 시간 동안 채굴이 진행된다. 하지만 코인하이브와 달리 CPU 사용을 15% 정도로 유지한다. 최대치로 조정해봐야 25%다. 또한 화면에 옵트아웃 메뉴를 항상 띄워놔 사용자가 언제나 끌 수 있도록 해 놨다. 하지만 보안 업체 체크포인트(Checkpoint)는 JSE코인을 ‘멀웨어’로 분류한다.

본드넷(Bondnet)
본드넷은 이름에서도 알 수 있듯 암호화폐를 채굴하는 봇넷이다. 모네로 만이 아니라 여러 암호화폐들을 채굴한다. 약 1만 5천 대의 서버로 구성되어 있다고 보안 업체 가디코어(GuardiCore)는 분석한다. 다국적 기업, 시 행정 기관, 대학교, 공공 기관, 보안 및 소프트웨어 업체 등 피해자도 다양하다.

본드넷은 과거 공개된 여러 가지 익스플로잇을 사용해 윈도우 서버 시스템에 침투해 들어간다. 그런 후 윈도우 관리 인터페이스 트로이목마(Windows Management Interface Trojan)을 설치해 원격 C&C 서버와 통신한다. 가디코어에 의하면 본드넷은 채굴만이 아니라 디도스 공격을 하는 데에도 활용될 수 있다고 한다.

파이크립토 마이너(PyCrypto Miner)
보안 업체 F5 네트웍스(F5 Networks)에서 발견한 채굴 도구로, 파이선과 리눅스에 기반을 두고 있는 봇넷이며 꽤나 오랫동안 탐지되지 않은 채 활동해 왔다. SSH 프로토콜을 통해 퍼지고 있으며 모네로를 주로 채굴한다. 12월 말을 기준으로 운영자들은 4만 6천 달러의 수익을 거둔 것으로 분석된다.

파이크립토 마이너의 가장 주목할 만한 특징은 페이스트빈(Pastebin.com)을 사용한다는 것이다. 이 커뮤니티를 통하여 원래의 C&C 서버가 닫히거나 사용이 불가능해질 경우 새로운 C&C 서버 주소를 개설하고, 통신하기 시작한다. 12월 중순에는 취약한 JBoss 시스템을 스캔하여 찾아내는 기능이 추가되기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)