Offcanvas

보안 / 블록체인 / 악성코드

한 달 동안 숨었다 작동하는 암호화폐 채굴 맬웨어 출현

2022.09.02 Lucian Constantin   |  CSO
인기 소프트웨어 다운로드 사이트의 합법적 애플리케이션 설치 프로그램에 함께 묻어서 설치되는 다단계 멀웨어가 발견돼 사용자 주의가 요구된다. 암호화폐 채굴 프로그램이 포함된 악성 페이로드는 최대 1개월 동안 천천히 단계적으로 실행될 수 있다.

보안업체인 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)의 연구팀은 새로운 보고서에서 “소프트웨어 초기 설치 이후 공격자는 감염 과정을 몇 주 동안 지연시키면서 원래 설치된 흔적을 삭제했다. 따라서 수 년 동안 눈에 띄지 않고 성공적으로 작동할 수 있었다”라고 분석했다.
 

트로이 목마 형태의 멀웨어, 2019년부터 시작돼

체크포인트 리서치 부서에 따르면, 니트로코드(Nitrokod)라는 터키어를 구사하는 소프트웨어 개발자가 이 암호화폐 채굴 멀웨어의 배후인데, 이 멀웨어는 최소 2019년부터 확인된다. 니트로코드 웹사이트는 2017년부터 비디오 및 음악 변환기, 비디오 다운로더, 음악 플레이어 등의 무료 소프트웨어 애플리케이션을 제작해왔으며 설치 사용자 수가 약 50만 명이라고 주장하고 있다.

니트로코드의 트로이 목마형 프로그램 중 일부는 소프트피디아(Softpedia)나 업투다운(Uptodown) 같은 앱 다운로드 사이트에서 찾아볼 수 있다. 체크포인트가 분석한 앱은 구글 번역 데스크톱으로 불리며, 보통 브라우저형 웹 서비스로 사용할 수 있는 구글 번역 서비스의 데스크톱 애플리케이션 버전이다.

실제로 구글 번역 데스크톱 앱 자체는 앱 개발자가 자사 앱에 크롬 브라우저를 구현해 웹 콘텐츠를 표시할 수 있도록 하는 오픈소스 크롬 임베디드 프레임워크(CEF) 프로젝트를 이용해 만들어졌다. 따라서 니트로코드는 어렵지 않게 잘 작동하는 앱을 만들 수 있었다.

구글 번역 데스크톱 외에, 개발자는 얀덱스 번역 데스크톱(Yandex Translate Desktop), 마이크로소프트 번역기 데스크톱, 유튜브 뮤직 데스크톱, MP3 다운로드 관리자, PC 오토 셧다운(PC Auto Shutdown) 등 비슷하게 만들어진 앱도 배포한다. 체크포인트는 11개 국가에 트로이 목마형 애플리케이션 사용자가 있음을 확인했다.
 

멀웨어 배포를 지연시켜 탐지 피해가는 방법 써

사용자가 앱을 다운로드하고 설치하는 즉시 악성 페이로드 배포가 발생하는 것은 아니다. 이것은 탐지를 피하기 위한 전략이다. 먼저 이노 셋업(Inno Setup)이라는 무료 툴로 구축된 앱 설치 프로그램이 개발자의 웹사이트에 접속하여 애플리케이션 파일이 들어 있는 비밀번호로 보호된 RAR 아카이브를 다운로드한다. 이후 프로그램 파일(x86)\Nitrokod\[애플리케이션 이름] 경로로 배포된다.

그런 다음 update.exe라는 구성 요소가 있는지 확인한다. 없는으면 니트로코드 폴더 안에 배포하고 재시작할 때마다 실행하도록 시스템 예약 작업을 설정한다. 그리고 나서 설치 프로그램은 피해자의 시스템 정보 일부를 수집하여 개발자의 서버로 보낸다. 

여기까지는 통계 목적으로 일부 시스템 데이터를 수집하고 자동 업데이트 구성 요소처럼 보이는 것을 배포하는 합법적인 애플리케이션이므로 설치가 이례적인 것은 아니다. 그러나 4일에 걸쳐 4번 정도 시스템이 재시작된 후 update.exe는 chainlink1.07.exe라는 또 다른 구성 요소를 다운로드하여 배포한다. 진짜 배포를 늦추고 여러 번 재시작을 요구하는 이러한 메커니즘은 여러 번 재시작된 애플리케이션을 테스트하지 않는 샌드박스 분석 시스템을 무력화하려는 시도일 가능성이 높다.

chainlink1.07.exe stager는 지연 주기가 각기 다른 4개의 예정 작업을 만든다. 그 중 하나는 3일마다 실행되면서 시스템 로그를 삭제하는 파워셸을 사용한다. 두 번째는 15일마다 실행되고 인텔 브랜드를 고의로 악용한 이름인 intelserviceupdate 도메인에서 또 다른 RAR 아카이브를 다운로드한다. 세 번째 예약 작업은 이틀마다 실행되며 RAR 아카이브를 발견하면 압축해제한다. 네 번째 작업은 매일 실행되고 해당 아카이브에서 또 다른 구성요소를 실행하도록 설정된다.

세 번째와 네 번째 작업은 빈도가 더 잦지만, RAR 아카이브를 다운로드하는 15일짜리 지연 작업이 실행될 때까지는 아무 작업도 수행하지 않는다. 지연된 작업이 실행될 때까지는 추출할 아카이브와 실행할 실행 파일이 없기 때문이다.

연구진은 “이 시점에서 모든 관련 파일과 증거가 삭제되고 감염 사슬의 다음 단계는 15일 후에 윈도우 유틸리티 schtasks.exe에 의해 계속될 것이며, 이렇게 하면 캠페인의 첫 번째 단계가 이어지는 단계와 분리되기 때문에 감염 사슬의 출처를 추적하고 초기 감염 애플리케이션을 차단하기가 매우 어려워진다”라고 설명했다.

새로운 악성 구성요소는 최종 단계를 위해 시스템 준비에 박차를 가하는 매개 드롭퍼(intermediary dropper)다. 먼저 알려진 가상 시스템 애플리케이션 및 보안 제품이 있는지 실행 중인 프로세스가 발견되면 실행을 중지한다. 없는 것으로 확인되면 다음 구성 요소에 대한 새 방화벽 규칙뿐 아니라 윈도우 디펜더에서 해당 구성 요소에 대한 제외사항을 추가한다.

마지막으로, 드롭퍼는 nniawsoykfo 1.8.exe라는 또 다른 구성 요소를 배포하는데, 그 다음으로 nniawsoykfo.exe와 powermanager.exe라는 2개의 다른 실행 파일을 배포한다. 후자는 오픈소스 XMRig 암호화폐 채굴 프로그램의 복사본이며, 전자는 채굴자를 제어하고 공격자의 공통 및 제어 서버가 호스팅 되는 이름으로 nvidiacenter가 있는 도메인에 연결되는 구성 요소다.

이 프로그램은 유휴 시간, CPU 코어 수, 데스크톱 또는 노트북, 설치된 바이러스 백신 프로그램, 배포된 Powermanager.exe(XMRig) 버전 등과 같은 시스템에 대한 정보를 빼낸다.
 

방어책은 강력한 애플리케이션 사용 정책

페이크 형태나 트로이 목마형 앱이 새로운 공격 벡터는 아니지만, 수 년 동안 잠복해 온 멀웨어는 기업이 강력한 애플리케이션 사용 정책을 수립하고 전사적으로 시행할 동인이 된다. 민감한 시스템에서 애플리케이션 화이트리스트 솔루션을 사용하고, 직원이 다운로드하고 설치할 수 있는 애플리케이션 종류와 장소를 제한하는 것도 방법이다.
editor@itworld.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.