AOL 광고 플랫폼에 주입된 가상화폐 웹 채굴기 스크립트

게시일: 2018-04-09 l 작성자: Trend Micro

트렌드마이크로는 지난 3월 25일 Trend Micro Smart Protection Network 를 통해 가상화폐 채굴기의 수가 급격하게 증가한 것을 확인했습니다. 웹 채굴기 트래픽을 추적한 결과 대부분이 일본의 MSN[.]com 과 연결되어 있음이 드러났습니다. 추가 분석 결과, 악성 행위자가 사이트에 표시된 AOL 광고 플랫폼에서 스크립트를 수정하여 웹 채굴기 프로그램을 시작한 것으로 밝혀졌습니다.

트렌드마이크로는 AOL 팀에 이 사실을 알리고, AOL 은 주입된 채굴기를 제거한 후 3월 27일 해당 문제를 해결하였습니다.


AOL 광고 가상화폐 웹 채굴기 초기 분석

위에서 언급하였듯이, 트렌드마이크로는 AOL 광고 플랫폼에 주입된 웹 채굴기 스크립트를 발견하였습니다 (트렌드마이크로 탐지명 COINMINER_COINHIVE. E-JS). 이번에 발견한 손상된 광고들은 대량의 웹 채굴기를 만들었습니다.

3월 24일 부터 3월 25일 까지 특정 웹 채굴기 탐지가 108%로 증가하였고, 이를 통해 손상된 광고 플랫폼이 활발히 이용되고 있었던 점을 알 수 있었습니다. 해당 광고는 대부분 Microsoft 브라우저의 기본 페이지로 사용되어지는 MSN[.]com 의 첫 페이지에 걸려있었으며, 이로 인해 탐지율이 극적으로 늘어난 것으로 보고 있습니다. 또한 메인 페이지에 걸렸던 광고의 특성상 많은 수의 사용자들이 페이지로 리다이렉트 되었을 것으로 예상됩니다.

해당 웹 채굴기 트래픽은 지난 3월 18일 만들어진 악성 도메인인 www[.]jqcdn[.]download 로 연결 되어 있었습니다. 그러나 2017년 이후로 계속해서 특정 채굴기 스크립트와 관련된 도메인이 4개나 더 발견된 점을 미루어 보아 해당 사건이 특정 캠페인의 일부일 수 있는 점도 염두에 두었습니다.


그림 1. 3월 24일 부터 3월 25일 까지 급격하게 증가한 특정 웹 채굴기

추가 분석 결과, 이와 같은 캠페인은 500개가 넘는 웹사이트를 손상시켰음이 밝혀졌습니다. 해당 웹사이트들은 AOL 광고 플랫폼에서 찾은 것과 동일한 채굴기 스크립트가 포함된 www[.]datasecu[.]download 페이지에 연결되어 있었습니다.


AOL 광고 웹 채굴기에 대한 자세한 내용

악성 스크립트는 AOL 광고 플랫폼인 advertising.aolp.jp 에 주입되었습니다. 사용자가 손상된 광고가 개재된 MSN 페이지에 방문하면 브라우저는 자동으로 웹 채굴기 프로그램을 실행하게 됩니다. 사용자가 광고를 클릭하지 않아도 코인 채굴기는 자동으로 실행되며, 사용자가 웹페이지를 닫게되면 채굴기는 비로소 멈추게 됩니다.

웹 채굴기의 난독화를 풀어본 결과 (파일 이름: ricewithchicken.js), 자바스크립트 코드가 Coinhive 를 기반으로 한다는 것을 발견하였습니다.


그림 2. advertising.aolp.jp 의 손상된 코드

해당 채굴기는 프라이빗 웹 채굴 풀을 사용하는데 이는 퍼블릭 풀을 사용했을 때에 지불해야 하는 요금을 피하기 위함입니다. 이 인스턴스에 사용된 프라이빗 채굴 풀은 다음과 같은 동일한 IP 에 연관됩니다: wss://wsX[.]www[.]datasecu[.]download/proxy 와 wss://www[.]jqcdn[.]download:8893/proxy


그림 3. 채굴기가 사용한 가상화폐 채굴 풀

트렌드마이크로는 해당 캠페인이 수정하여 손상된 사이트를 면밀히 조사한 결과 악성 콘텐츠의 대부분이 Amazon Web Service (AWS) S3 버킷에서 호스팅되었음을 확인했습니다. 또한 S3 버킷의 이름이 몇몇 손상된 URL 에서 보여짐에 따라 추가적인 조사가 가능하였고, 그 결과 버킷은 누구든지 리스트를 작성, 복사, 수정이 가능하도록 오픈되어 있었음이 밝혀졌습니다.

이는 AWS 관리자가 S3 버킷의 권한을 제대로 설정하지 않아 공격자가 호스팅된 콘텐츠를 수정할 수 있었던 것으로 추측됩니다. 보안되지 않은 AWS S3 서버는 2017년 부터 문제가 되어왔으며, 올해 들어 이미 여러가지 가상화폐 채굴에 이용되었습니다. 트렌드마이크로는 분석 도중 일부 웹사이트의 버킷 사용 권한을 수정했지만, 콘텐츠에 주입된 악성코드는 아직 확인되지 않았습니다.

AOL 광고 플랫폼의 경우도 마찬가지로 보안이 제대로 설정이 되어 있지 않아 수정되었을 수 있습니다. 트렌드마이크로는 동일한 종류의 Amazon 서버를 발견했지만, 권한 확인으로 막혀있어 실제 S3 버킷의 접근이 불가능했습니다.

이 캠페인은 보안되지 않은 S3 버킷의 자바스크립트 라이브러리 끝에 악성 스크립트를 삽입했습니다. 웹사이트 관리자는 아래 그림과 유사한 코드가 있는지 확인하거나 또는 하단의 IoC 에 포함되어 있는 채굴 도메인을 확인하여 관리하는 웹사이트가 수정이 되었는지의 여부를 확인해 볼 수 있습니다.


그림 4. 가상화폐 채굴기를 로드하기위해 주입된 악성 스크립트

기업은 이러한 유형의 위협을 막기위해 항상 올바르게 보안을 구성하여 서버를 보호해야 합니다. 또한 각 기업의 특정 요구 사항에 가장 적합한 클라우드 보안 솔루션을 선택하여 더 안전하게 보호 해야합니다. 클라우드를 위한 Deep Security 는 위협을 사전에 탐지 및 차단하고, 하이브리드 클라우드 보안은 물리, 가상 및 클라우드에서의 워크로드를 포함한 하이브리드 환경에 최적의 보안을 제공합니다.

Trend Micro Deep Security는 AWS, Azure, VMware 에 최적화되어 서버를 즉각적으로 보호합니다. 또한 보안 설정, 관리, 시스템 업데이트를 트렌드마이크로에 제공하여 IT 부서의 업무 부담을 줄여줍니다.

트렌드마이크로는 AOL 팀과 협조하여 해당 문제를 처리하였으며, 빠른 대응을 해준 AOL 팀에 감사드립니다.


IoC (Indicators of Compromise)

SHA256
c6c5b88e5b641484c9f50f1abdbebb10e5a48db057e35cb7f556779c5684003b

악성도메인 정의
www [.] jqcdn [.] download 사설 Webminer 도메인
www [.] datasecu [.] download 사설 Webminer 도메인
www [.] dataservices [.] download 사설 Webminer 도메인
www [.] jquery-cdn [.] download 사설 Webminer 도메인
www [.] securedates [.] download 사설 Webminer 도메인

[원문: Cryptocurrency Web Miner Script Injected into AOL Advertising Platform]