Offcanvas

How To / 데이터센터 / 보안 / 악성코드 / 애플리케이션 / 통신|네트워크

"씨게이트 NAS 수천대, 암호통화 채굴 악성코드에 악용"

2016.09.13 Lucian Constantin  |  IDG News Service
공개적으로 접속할 수 있는 FTP 수천대가 암호화폐 채굴 악성코드를 확산하는 데 악용되고 있다. 여기에는 씨게이트 NAS 기기가 상당수 포함돼 있다.


Image Credit: 씨게이트

보안업체 소포스(Sophos)는 'Mal/Miner-C'라 불리는 악의적 프로그램을 분석한 결과를 공개했다. 이 프로그램은 윈도우 컴퓨터를 감염시켜 CPU와 GPU 자원을 가로채 비트코인과 유사한 암호통화인 '모네로(Monero)'를 채굴한다.

암호화폐 대부분은 컴퓨터 자원을 사용해 네트워크에서 유효한 거래를 하는 데 필요한 복잡한 수학 문제를 푸는 방식으로 새로운 화폐를 만들어낸다. 이 과정을 보통 '채굴(mining)'이라고 부르는데, 이 악성코드는 다른 사람의 컴퓨터 자원을 가로채 공격자가 암호화폐를 채굴하는 데 악용한다.

이는 수년전 유행했던 비트코인 채굴 악성코드와 비슷하다. 암호통화 네트워크가 성장하면서 컴퓨팅 자원이 제한된 개인용 컴퓨터로는 더이상 비트코인 채굴이 어려워지자, Mal/Miner-C 같은 악성코드 제작자들은 새로운 암호통화로 대상을 바꾸고 있다. 채굴하기 상대적으로 쉬운 모네로 같은 것이다.

소포스에 따르면, Mal/Miner-C는 자동 감염 메커니즘을 갖고 있지 않고, 대신 사용자가 악의적인 프로그램을 실행하도록 하는 방식으로 퍼진다. 구체적인 방법은 두가지인데, 하나는 감염된 웹사이트에서 다운로드하는 것, 다른 하나는 공개된 FPT 서버를 이용하는 것이다.

공격자들은 인터넷을 통해 접속할 수 있는 FTP 서버를 스캔한 후 기본 설정이나 취약한 계정 혹은 익명 계정으로 로그인을 시도한다. 여기서 성공하면 서버에 대한 쓰기가 가능한지 확인해, 쓸 수 있는 모든 디렉터리에 악성코드를 복사해 놓는다. Mal/Miner-C가 급속히 확산된 것도 이 때문이다. 지난 6개월간 3,000개 시스템에서 170만 개 이상 발견됐다. 감염된 시스템 대부분은 FTP 서버이며 여러 디렉터리에 악성코드의 다양한 복사본을 저장돼 있었다.

소포스의 연구자들은 '센시스(Censys)'라 불리는 인터넷 스캔 엔진을 사용해 익명 접속으로 쓰기 권한을 주는 FTP 서버를 검색했다. 총 7,263개를 찾았는데 이중 5,137개가 Mal/Miner-C에 감염된 것으로 나타났다.

흥미로운 점은 이들 FTP 서버 중 상당수가 '씨게이트 센트럴(Seagate Central)' NAS 기기에서 운영되고 있다는 것이다. 처음부터 이 기기를 노린 것은 아니지만 제품 특성 상 보안이 취약한 FTP 서버가 쉽게 인터넷에 노출되는 것으로 나타났다. 소포스에 따르면, 씨게이트 센트럴 NAS 시스템은 기본 설정으로 데이터를 공유하는 공개 폴더를 제공한다. 이 공개 폴더는 사용하지 않도록 설정할 수 없으며 기기 관리자가 원격 접속을 허용하면 인터넷을 통해 누구나 접근할 수 있다.

Mal/Miner-C에 감염된 FTP 서버는 파일 2개를 포함하고 있다. Photo.scr과 info.zip이다. Photo.scr은 윈도우 실행 파일이지만 그 아이콘은 마치 윈도우 폴더인 것처럼 위장한다. 사용자가 무의식중에 이를 실행하도록 속이기 위해서다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.