가상화폐 채굴 멀웨어: 2018년도의 새로운 위협?

게시일: 2018-03-15 l 작성자: Trend Micro

가상화폐 채굴 멀웨어는 새로운 랜섬웨어가 될까요? 가상화폐의 치솟는 인기와 현실 세계에서의 중요성은 랜섬웨어의 악명과 발맞추어 사이버 범죄자들의 주목을 끌고 있습니다. 실제로 가상화페 채굴은 2017년도 홈 라우터에 연결된 장치에서 가장 많이 감지된 네트워크 이벤트였습니다.



그림 1. 2017년도 홈 라우터에 연결된 장치에서 가장 많이 감지된 네트워크 이벤트는
가상화폐 채굴이었습니다 (Trend Micro Smart Home Network feedback 기준)

2011년 중반부터 웜과 백도어와 같은 주요 페이로드 등이 더 효과적인 방법으로 발전하여 심지어 사이버 스파이와 랜섬웨어 운영자들, 조직화된 해킹 그룹들도 이러한 움직임에 동참하고 있습니다.

예를 들어 Bitcoin 경우, 2017년 1월 기준 그 가치가 $1,000 USD 로 시작하여, $20,000 USD 까지 오른 후, 현재 $11,000 USD 가 되었습니다. Monero (XMR) 의 경우도 마찬가지로, 2017년 1월 가치가 $13 USD 로 시작하여 2018년 2월 $325 USD 까지 상승했습니다. 가치가 급격히 증가하면서 급격한 변화도 일어났습니다. 돈이 되는 곳 어디든 위협 행위자들은 존재합니다.

위협 행위자들의 갑자기 늘어난 가상화폐 채굴 멀웨어 사용은 아주 적절한 예입니다. 아래 그림에서 볼 수 있듯이, 가상화폐 채굴 멀웨어의 유행은 2017년 10월에 가장 큰 활동을 보이며 11월과 12월에 걸쳐 줄어들기 시작했습니다. 가상화폐 채굴 멀웨어는 일본, 인도, 대만, 미국, 호주에서 가장 많이 발견되었습니다.


그림 2. 2017년 가상화폐 채굴 멀웨어 탐지 수 (Trend Micro Smart Protection Network 기준)


그림 3. 2017년 국가별 가상화폐 채굴 멀웨어 탐지수 (Trend Micro Smart Protection Network 기준)

특히 Monero 채굴 도구로 가장 많이 선호되는 Coinhive 와 같은 합법적인 도구와 그레이웨어 도구의 악용, 파일리스 가상화폐 채굴기 등의 등장과 같은 사이버 범죄와 불법 채굴 행위에 있어 또 다른 패러다임의 변화가 다가올 조짐이 보입니다.

Bitcoin 에서 Monero 로

Coinhive 는 사이트 방문자의 CPU 를 사용하요 Monero 를 채굴할 수 있는 JavaScript 를 제공함으로써 사용자와 회사에 대체 수익 창출 플랫폼을 제공합니다. 편리한 방법과 사용자 커스텀이 가능한 점은 사이버 범죄자들의 먹잇감이 되었습니다. 악성 광고를 통해 퍼진 악성 버전의 Coinhive 는 세계에서 여섯 번째로 흔한 악성프로그램으로써 미국과 영국의 공식 웹사이트 및 유명 회사의 클라우드 서버까지 공격한 것으로 보고되었습니다.

사이버 범죄자들이 Monero 를 선택한 것은 놀라운 일이 아닙니다. CrytoNight 라 불리는 Monero 채굴을 위한 알고리즘은 ASIC 채굴에 내성을 갖도록 설계되었습니다 따라서 소비자 하드웨어 CPU 의 해시 계산에 더 적합합니다.

여전히 CPU 및 GPU (Graphics Processing Unit) 혹은 두가지 모두를 사용하여 기술적으로 Bitcoin 채굴은 가능하지만, ASIC (Application0specific integrated circuit chips) 를 사용하거나 클라우드 마이닝을 사용한 전용 시스템의 경우에는 24시간 매일 가동하여도 채굴이 불가능합니다.

Monero 는 Bitcoin 보다 익명성이 더 높습니다. Monero 는 Ring signatures 를 사용하여 주소, 금액, 출처, 대상, 보낸 사람 및 받는 사람과 같은 Monero 블록체인을 통해 이루어진 거래의 흔적을 추적하기가 어렵습니다.

파일리스 가상화폐 채굴 멀웨어

랜섬웨어가 진화한 것과 같은 방식으로, 채굴기 설치용 파일리스 멀웨어 배포를 위한 익명의 익스플로잇 공격과 방법은 점점 더 진화하고 있습니다. 예를 들어 Coinhive 는 10-20 의 활동적인 채굴기가 매달 0.3 XMR (약 $97) 의 수익을 낼 수 있다고 발표했습니다 (2018년 2월 22일 기준). 좀비화된 시스템들은 더 많은 불법 판매 대금을 지급합니다.

작년에 발견된 가상화폐 채굴 멀웨어EternalBlue 를 악용하여 퍼지고, 지속성을 위해 WMI (Windows Management Instrumentation) 을 악용했습니다. 실제로 Monero 채굴 멀웨어인 AdylkuzzWannaCry 보다 더 이전에 EternalBlue 를 악용한 최초의 멀웨어 중 하나였습니다. 시스템이나 네트워크가 패치가 되지 않은 채로 있는 시간이 길어지면 길어질 수록, 재감염될 가능성은 더욱 높아집니다.

아래 그림과 같이 파일리스 가상화폐 채굴 멀웨어의 전형적인 감염 경로에는 시스템 메모리에 악성 코드를 로딩하는 행위가 포함됩니다. 유일한 감염의 흔적은 악성 Batch 파일, 설치된 WMI 서비스 및 PowerShell 실행 파일 뿐 입니다. 멀웨어를 퍼뜨리기 위해 일부는 EternalBlue 익스플로잇을 사용하지만 일부는 Mimikatz 를 사용하여 사용자 자격 증명을 수집한 후 기계를 Monero 채굴기로 바꾸기도 합니다.

실제로 취약성은 가상화폐 채굴 멀웨어가 침입하는 주 경로 중 하나가 될 것입니다. 이는 Apache CouchDB 데이터베이스 관리 시스템에서 최근에 시도한 침입 시도를 통해 밝혀졌습니다. JenkinsMIner 는 원격 액세스 트로이 목마로 Monero 채굴기를 겨냥하고 Jenkins 서버를 대상으로 3백만 달러 이상의 Monero 를 채굴하는 것으로 밝혀졌습니다.


그림 4. 파일리스 가상화폐 멀웨어의 전형적인 감염 경로

대응방법

아직까지 많은 나라에서 가상화폐를 법적으로 금지하지 않고 있습니다. 법적으로 규제가 되는 부분은 있지만, 불법으로 채굴하는 것은 엄연히 다른 문제 입니다.

가상화폐 채굴 멀웨어의 피해가 랜섬웨어만큼 뚜렷하게 보이지는 않지만, 이 또한 엄연한 위협 요소 입니다. 작년 12월, Loapi Monero 채굴 멀웨어가 (안드로이드 용) 모바일 장치를 물리적으로 손상시킬 수 있는 방법을 보여주었습니다.

그러나 사이버 범죄로써의 가상화폐 채굴은 단순히 기기가 망가지고 전력이 소비되는 정도의 일이 아닙니다. 이를 통해 끊임없이 진화하는 기술 환경과 함께 발생할 수 있는 위험와 위협을 볼 수 있습니다. 또한 랜섬웨어와 마찬가지로 피해자의 실수를 포함한 다양한 방법을 통해 시스템을 감염시켜 나갈 것으로 예측됩니다. 따라서 기업과 개인 사용자뿐 아니라 장치의 설계 및 장비 제조업체는 심층적인 방어로 보안 매커니즘을 보완해야 합니다.

Trend Micro XGen™ 보안은 차세대 위협 방어 기술을 제공하여 가상화폐 채굴 멀웨어로부터 시스템을 보호합니다. 또한 하이파이 머신러닝을 사용하여 게이트웨이엔드포인트 뿐만 아니라 물리, 가상, 클라우드의 워크로드까지 안전하게 보호합니다. 웹/URL 필터링 기능, 행위 분석, 사용자 지정 샌드박스 등의 기능들은 기존의 보안을 회피할 수 있는 최신 위협, 알려진 공격과 알려지지 않은 공격, 공개되지 않은 취약점, 개인 식별 데이터 도용 및 암호화, 악성 가상화폐 채굴 행위 등을 방어합니다. 스마트하고, 최적화되고 다른 솔루션들과 연동되어 있는 XGen™ 은 Trend Micro 의 하이브리드 클라우드 보안, 엔드포인트 보안, 네트워크 방어 솔루션에 모두 적용되어 있습니다.


[원문: Crypto-Mining Malware: 2018’s New Menace?]