* 출처는 안랩입니다.
암호화폐의 가격이 지속적으로 상승하면서 암호화폐 채굴 악성코드(Crypto-Mining)가 점점 더 활발하게 유포되고 있다. 암호화폐 채굴 악성코드는 사용자의 동의 없이 PC에 상주하여
CPU 및 GPU 자원을 무단으로 활용하여 암호화폐를 채굴하며, 감염된 시스템의 성능 저하를 초래한다.
최근 AhnLab SEcurity intelligence Center(ASEC)이 확인한 채굴 악성코드는 불특정 다수에게 USB로 전파된다. 해당 악성코드는 암호화폐 채굴 행위 뿐만 아니라 시스템 전력 설정 정보, HVCI(Hypervisor Protected Code Integrity) 비활성화 등 채굴의 성능 및 보안 제품 탐지 회피를 위한 시스템 설정을 무단으로 변경하였다.
이번 글에서는 해당 악성코드에 대해 ASEC이 분석한 내용을 공유한다.
암호화폐 채굴 악성코드의 동작 흐름
악성코드의 전체적인 동작 흐름은 다음과 같다.
①바로가기 파일을 통한 악성코드 실행 → ②다운로더 악성코드 서비스 등록 및 실행 → ③시스템 설정 변경 → ④PostgreSQL DB를 이용한 C&C 통신 수행 → ⑤암호화폐 채굴 악성코드 다운로드 및 실행 → ⑥USB 전파
[그림 1] USB로 전파되는 암호화폐 채굴 악성코드 동작 흐름
1. 바로가기 파일을 통한 악성코드 실행
해당 암호화폐 채굴 악성코드의 최초 유포 방식은 확인되지 않았다. 하지만 이번 공격의 핵심 기능을 수행하는 악성코드는 x<랜덤 6자리 숫자>.dat([그림 1]의 svchost.exe에서 동작하는 파일)로 밝혀졌다. x<랜덤 6자리 숫자>.dat 악성코드는 감염된 PC에 이동식 저장 매체(이후 USB)가 연결되었을 때 자동으로 채굴 악성코드와 실행 스크립트, 바로가기 파일을 USB에 생성하여 감염시킨다. 이러한 특징으로 인해 전파력이 매우 강하다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면, 최근 발견된 x<랜덤 6자리 숫자>.dat 악성코드 파일 하나가 1,000건 이상의 PC를 감염시킨 것으로 확인되었다.
감염된 USB의 루트 디렉토리에 "USB Drive.lnk" 바로가기 파일이 생성되며 사용자가 이를 실행하면 숨겨진 폴더(rootdir)에 저장 되어있는 "rootdir\x<랜덤 6자리 숫자>.vbs"가 자동으로 실행되며 추가적인 동작을 수행한다.
[그림 2] 암호화폐 채굴 악성코드에 감염된 이동식 저장 드라이브
* 전체내용은 아래에서 확인하세요.
https://www.ahnlab.com/ko/contents/content-center/35783