* 출처는 안랩입니다.

최근 국내에서 USB 저장장치를 매개로 전파되는 암호화폐 채굴 악성코드가 지속적으로 발견되고 있다. 전반적인 감염 흐름은 과거 USB 기반 공격과 유사하지만, 다단계 드로퍼 구조와 보안 제품 우회, 프로세스 은폐 등 한층 고도화된 기법이 함께 사용되고 있다. 이번 글에서는 이들 악성코드 중 최종 페이로드를 편의상 ‘PrintMiner’로 지칭하고, USB 전파 단계부터 최종 코인 마이너 실행까지의 최신 공격 흐름을 순차적으로 분석한다.

[그림 1] USB를 통해 전파되는 코인 마이너 악성코드 공격 흐름도

1. USB를 통한 전파

감염된 USB에는 겉으로는 “USB Drive.lnk” 파일이 보이지만, 실제로는 “sysvolume”, “USB Drive” 폴더가 숨김 속성으로 함께 존재한다. 윈도우 탐색기에서 폴더 옵션 → 보기 탭에서 ‘숨김 파일, 폴더 및 드라이브 표시’를 선택하면 숨겨진 “sysvolume”, “USB Drive” 폴더를 확인할 수 있다.

일반 사용자는 USB를 연결한 뒤 화면에 보이는 “USB Drive.lnk” 파일을 자연스럽게 더블 클릭해 실행하게 된다. 이 바로가기 파일은 “sysvolume” 폴더 하위에 존재하는 “u566387.vbs"와 같이, u로 시작하는 6자리 랜덤 숫자 이름의 VBS 악성 스크립트를 호출한다.

[그림 2] 감염된 USB 내의 파일들

VBS 악성코드는 동일 경로에 위치한 “u643257.bat” 형태의 BAT 스크립트를 추가로 실행하는 역할을 한다. BAT 스크립트는 “USB Drive” 폴더를 열어주는데, 이 폴더 안에는 원래 USB에 있던 사용자의 정상 파일들이 그대로 존재한다. 이 때문에 사용자는 평소처럼 USB를 사용하는 것처럼 느끼며, 악성코드 감염 사실을 눈치채기 어렵다. 

추가로 BAT 스크립트는 “C:\Windows \System32\”와 같은 공백이 포함된 비정상 경로를 생성한 뒤, 드로퍼 악성코드인 “u211553.dat” 파일을 “printui.dll” 이름으로 복사한다. 그 다음, “%SystemDirectory%” 폴더에 존재하는 정상 파일 “printui.exe”를 “C:\Windows \System32\” 경로로 복사해 실행함으로써, 악성 DLL인 “printui.dll(u211553.dat)”이 정상 프로세스 “printui.exe”에 로드돼 실행되도록 한다.

[그림 3] 악성코드 설치 스크립트

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/36027