NSA 툴 활용하고 보안 무력화시키는 채굴 코드 등장

파이로마인, 셰도우 브로커스가 공개한 NSA 툴 활용해
보안 시스템 비활성화시키고 포트 개방해 추가 공격 가능케 해

[보안뉴스 문가용 기자] 암호화폐를 채굴하는 범죄자의 수가 랜섬웨어 공격자들보다 점점 많아지고 있는 때라서 그런지 별별 종류의 채굴 코드가 등장하고 있다. 이번에는 파이선을 기반으로 한 모네로 채굴 소프트웨어가 등장했다. 게다가 NSA 익스플로잇까지 탑재한 상태라고 한다.

[이미지 = iclickart]

2016년 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 NSA의 해킹 도구들을 훔쳐냈다고 주장하며 방대한 데이터를 공개한 바 있다. 지금도 이들은 일부 돈을 내는 사용자들에게 이 툴들을 추가 공개하고 있는 상황이다.

이러한 상황에서 이터널블루(Eternalblue)와 이터널로맨스(Eternalromance)라는 익스플로잇이 세상에 공개되기도 했다. 이는 윈도우 XP, 비스타, 7, 8.1, 10 버전과 윈도우 서버 2003, 2008, 2012, 2016을 공격하는 툴이며, CVE-2017-0144와 CVE-2017-0145라는 취약점을 악용한다. 이 둘은 워너크라이 랜섬웨어 사태 때 활용되기도 했다.

보안 업체 포티넷(Fortinet)이 이번에 발견한 암호화폐 채굴 코드는 파이로마인(PyroMine)으로 위의 이터널로맨스 익스플로잇을 사용하여 취약한 윈도우 시스템들을 감염시키고 있다고 한다. 물론 암호화폐 채굴 코드로서 NSA의 익스플로잇이 탑재된 사례는 이전에도 있었다. 하지만 파이로마인이 특이한 건 “RDP 서비스를 활성화하고 보안 시스템을 비활성화함으로써 기기를 취약한 상태로 만든다는 점” 때문이다.

이 멀웨어는 파이인스톨러(PyInstaller)로 컴파일링 된 실행파일을 포함한 집 파일 형태로 퍼지고 있으며, 이 집 파일로 연결되는 악성 URL을 포티넷에서 우연히 발견해 추적하다가 발견됐다. “파이인스톨러까지 실행되기 때문에 피해 기기에 파이선이 설치되지 않아도 멀웨어가 작동할 수 있습니다.”

사용자가 이 악성 파일을 다운로드 받아 실행시키면 공격자가 시스템 권한을 가져갈 수 있게 된다. “악성 비주얼베이직 스크립트 파일이 Default라는 계정을 만듭니다. 이 계정의 비밀번호는 P@ssw0rdf0rme이고요. 그리고 이 계정을 로컬 그룹인 Administrators, Remote Desktop Users, Users에 추가시킵니다. 그런 후 RDP를 활성화시키고 방화벽 규칙을 새롭게 추가합니다. RDP 포트 3389f의 트래픽을 허용하라는 규칙이죠. 또한 윈도우의 업데이트 서비스를 중지시키고 원격 접근 연결 관리자(Remote Access Connection Manager) 서비스도 활성화시킵니다.”

그 후 파이로마인은 윈도우 원격 관리 서비스의 환경설정도 조작한다. 그 핵심은 기본적인 인증을 활성화시키고, 암호화되지 않은 데이터의 전송을 허용하게 만드는 것이다. “그렇게 함으로써 미래 추가 공격의 활로까지 열어두는 것이죠. 대단히 위험한 멀웨어라고 볼 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)