가상화폐 채굴기와 결합한 파일 감염 멀웨어로 다시 떠오르는 XIAOBA 랜섬웨어

게시일: 2018-04-23 l 작성자: Trend Micro

최근 가상화폐 채굴기가 광고 플랫폼, 모바일 기기, 서버들에 주입이 되는 등 멀웨어에 의해 악용되는 사례가 많습니다. 멀웨어 제작자는 수익을 얻을 수 있는 기회를 극대화하기 위해 페이로드를 변경하면서, 이러한 가상화폐 환경에서 멀웨어에 채굴기를 결합하는 것으로 보여집니다. 트렌드마이크로는 멀웨어 제작자들이 그들의 필요에 맞게 채굴기를 사용하는 바이너리 감염 멀웨어(Binary Infector) 를 발견하였습니다.

트렌드마이크로는 가상화폐 채굴기에 정교한 파일 감염 기능과 웜(Worm) 기능이 있는 멀웨어를 발견했으며, 조사 중 두개의 두개의 변종을 발견하였습니다. XiaoBa 로 밝혀진 해당 멀웨어는 (트렌드마이크로 탐지명 PE_XIAOBAMINER) XiaoBa 랜섬웨어와 아주 유사합니다. 랜섬웨어 코드는 더욱 강력한 가상화폐 채굴기를 만들 수 있는 새로운 기능이 더해졌습니다.

이 파일 감염 멀웨어(File Infector)는 멀웨어 바이너리를 주입시켜 주 코드가 그대로 유지되지만 원래의 목적에 맞추어 실행되지는 못하기 때문에 악성행위를 보이는 것으로 보여집니다. 예를 들어, 감염된 calc.exe 파일이 XiaoBaMiner 와 함께 실행되면 멀웨어 코드가 실행되지만, 더 이상 calc.exe 루틴은 실행되지 않습니다.


채굴을 목적으로한 감염

XiaoBa 는 바이너리 감염 행위 외에도 가상화폐 채굴 활동을 합니다. Coinhive 채굴 스크립트를 아래의 확장자에 주입합니다.

  • *.html
  • *.htm


그림 1. Coinhive 주입을 보여주는 감염자 코드. 다른 변종은 심지어 자체 XMR
구성과 채굴 바이너리를 보유하고 있습니다.


그림 2. CPU 사용량으로 보여지는 감염된 스크립트가 웹 브라우저로 로드되는 모습


용도가 변경된 랜섬웨어 코드

가상화폐 채굴기가 주요 페이로드이고, Coinhive 스크립트가 대상 장치에 주입되어 배포됩니다. 또 다른 XiaoBa 변종에는 스크립트 주입이 포함되어 있지만 32비트 및 64비트 버전의 XMRig 채굴기가 포함되어 있습니다. 트렌드마이크로는 다른 멀웨어가 피해자의 장치에 따라 배포되는 32비트 및 64비트 XMRig 페이로드를 처리하는 것을 확인하였습니다.

트렌드마이크로의 분석에 따르면, 해당 멀웨어와 랜섬웨어 RANSOM_XIAOBA (2017년 10월 처음 발견됨) 는 여러 가지 비슷한 코드 구조를 가지며 뚜렷한 유사점을 보여주고 있음을 발견했습니다. 한가지 다른점은 최근 발견된 멀웨어는 가상화폐 채굴기를 퍼뜨리기위한 용도로 변경이 되었다는 것입니다.


그림 3. 랜섬웨어와 감염 코드 비교


감염 기술

위에서 언급되었듯이, XiaoBa 는 주 코드는 손상시키지 않으면서 멀웨어 바이너리를 주입시켜 원래의 목적으로 실행되지 않도록 합니다. 다른 멀웨어와 마찬가지로 자동 시작을 위해 아래와 같이 자체적으로 복사본을 드랍시켜 실행시킵니다.

  • % systemroot % \ 360 \ 360Safe \ deepscan \ ZhuDongFangYu.exe
    혹은 다른 변종에서는 아래와 같습니다.
  • % systemroot % \ svchost.exe
    안정적으로 파일을 계속 실행시키기위해, 멀웨어는 안전모드로 들어갈 수 있는 세이프부트 레지스트리를 삭제합니다.


그림 4. 세이프부트 레지스트리 키를 지우는 멀웨어

다음 과정으로 멀웨어는 주 파일을 수정하여 AV 및 포렌식 관련 URL로 로컬 호스트를 리디렉션 시킵니다.


그림 5. 리다이렉트 될 보안 관련 URL 목록

다음 단계로 아래와 같은 확장자명을 가진 파일을 검색하고 감염시킵니다.

  • *.exe
  • *.com
  • *.scr
  • *.pif

파일의 내용과 관계없이 이 멀웨어는 위의 확장자명을 가진 파일 앞에 붙이는데, 이는 일반적으로 파일을 감염시키기 전에 특정 조건이나 마커를 찾는 다른 멀웨어와 달리, 해당 멀웨어가 감염 전 검색하는 유일한 조건입니다. 또한 모든 디렉토리를 탐색하기 때문에 중요한 시스템 파일 (% SystemRoot % ProgramFiles %) 을 피할 수 없으며, 제대로 처리되지 않으면 시스템이 매우 불안정해질 수 있습니다.


그림 6. 중요한 디렉터리를 감염시킨 멀웨어 (%systemroot%\system32)

마지막으로 AV 디스크 이미지 파일 및 CD 이미지용 확장명을 가진 파일을 삭제합니다.

  • *.gho
  • *.iso


그림 7. 악성 멀웨어가 삭제하고 감염시키는 파일을 보여주는 코드


공격적인 전파 전략

분석 결과에 따르면 멀웨어가 감염되는 파일의 크기는 4KB 정도의 낮은 크기에서 부터 100+Mb 파일 (200+Mb 파일에서 테스트한 파일) 및 더 큰 파일까지 제한이 없습니다. 또한 감염된 파일에 마커를 남기지 않으므로 여러 번 감염이 될 수 있습니다.



그림 8. 멀웨어는 파일을 감염시킨 후 재 감염시킬 수 있습니다.

감염된 파일이 시스템에서 실행되는 경우 초기 바이너리 호스트 파일 (NORMAL.EXE) 의 코드가 앞에 추가된 정보에 포함됩니다. 일부 샘플에서는 단일 감염 파일에서 최대 10개의 호스트 파일을 발견했습니다. 악성 코드의 페이로드와 파일 감염의 조그마한 방식으로 인해 많은 메모리를 사용할뿐만 아니라 많은 디스크 공감을 잠재적으로 사용합니다.


XiaoBa 변종 비교

지금까지 해당 가상화폐 멀웨어 감염 멀웨어에서 두가지 변종이 발견되었습니다. 아래는 두가지 변종에 대한 간략한 설명과 행동에서 나타나는 차이점 입니다.

PE_XIAOBAMINER.SM-O 변종 1
(6d870d18702c0871fb0d00db629dab94
757090467c4d9b1420e1e9518779a285)
PE_XIAOBAMINER.SM-O 변종 2 (11abb44de53807e32980a010a4735146
94f901841e63ab33f5e0ff8754009b47)
OS 버전에 따라 XMRIG 구성 요소 파일 버전을 드랍:
0972ea3a41655968f063c91a6dbd31788b20e64ff27
2b27961d12c681e40b2d2
  • 32비트 XMRIG 채굴기
  • Coinminer_MALXMR.SM-WIN32 로 이미 탐지됨

08b55f9b7dafc53dfc43f7f70cdd7048d231767745b76
dc4474370fb323d7ae7
  • 64비트 XMRIG 채굴기
  • Coinminer_CryptoNight.SM-WIN64 로 이미 탐지됨

7ce2fc404d190f6e44146c455ebf08a0545fff4d8ca66e8
34996b28b5067ccba
  • 비-바이너리 (non-binary) config.json 파일이
    멀웨어 제작의 유저네임과 채굴 서버를
    포함한 XMRIG 에 의해 사용됨
  • 47XDhdPop9CMqSxnZsZv2ze9bg7HjxUx1Yorw
    GCP5bqw4XBKGd6jWCA5rXV8XsJLNsaedqW1
    XjxvfQWg7tFV5wZWP66su1j (가상화폐 지갑 주소) 사용
이동식 드라이브를 통해 전파







안티 바이러스 및 포렌식 관련 웹사이트에 대한 액세스를 차단하기 위해 호스트 파일을 수정





파일 확장자명이 “*.gho” 및 “*.iso” 인
파일을 삭제
  • .gho – Norton Ghost Image
  • .iso – disk image of CD-ROM media




두 변종은 몇가지 유사점을 가지고 있습니다. 두 변종 모두 사용자 사이트 키로 "yuNWeGn9GWL72dONBX9WNEj1aVHxg49E"를 사용하는 * .htm 및 * .html 파일에 대해 Coinhive 감염체 (트렌드마이크로 탐지명 COINMINER_XIAOBA.SM-HTML) 를 보유하고 있습니다. 또한 .exe, .com, .scr, .pif 확장자명을 가진 바이너리 파일을 감염시킵니다. 두 변종 모두 BlackMoon 을 사용하여 포장되며 윈도우즈 사용자 계정 컨트롤 알림을 비활성화합니다.

이러한 유사점을 바탕으로, 두가지의 가능성을 알 수 있습니다. 두 변종은 같은 멀웨어 제작자에게서 만들어졌거나 혹은 같은 소스 코드를 사용하여 몇몇 기능을 추가 및 제거한다는 점입니다.


대응방법

XiaoBa 는 디바이스에 성공적으로 배포된 경우 큰 영향을 미칠 수 있습니다. 해당 멀웨어가 바이너리를 감염 시키면 호스트 파일의 코드가 실행되지 않습니다. 손상된 파일의 응용프로그램은 무엇이든간에 제대로 사용할 수 없습니다. 동시에 중요한 파일에도 영향을 미쳐 피해자의 시스템이 매우 불안정해질 수 있습니다. 또한 멀웨어는 파일들을 중복으로 감염시키기 때문에 많은 양의 디스크 공간을 차지하며, 동시에 가상화폐 채굴기로써 디바이스의 메모리 리소스를 사용하게 됩니다.

XIAOBA 와 같은 위협으로부터 기업을 안전하게 보호하기 위해서는 사전 보안 조치가 마련되어 있어야합니다. 트렌드마이크로 XGen™ 보안은 다계층의 위협 방어 기술을 결합하여 시스템을 암호화 멀웨어로부터 보호하고, 게이트웨이와 엔드포인트를 보호할 수 있는 하이파이 머신러닝 기술 또한 갖추고 있어 물리, 가상, 클라우드 에서의 워크로드를 안전하게 보호합니다. 웹/URL 필터링, 행위 분석, 사용자 커스텀 샌드박스와 같은 기능을 통해 XGen 은 기존의 보안 방식을 우회하여 침투하는 위협, 알려지지 않은 취약점을 악용한 위협, 개인 식별 데이터를 도용 및 암호화 하는 위협, 악의적인 가상화폐 채굴기 실행 공격 등의 오늘날의 위협으로부터 시스템을 보호합니다. 스마트하고, 시스템에 최적화된 XGen™ 보안은 트렌드마이크로의 보안 솔루션 제품군인 하이브리드 클라우드 보안, 사용자 보안, 네트워크 방어 기능을 제공합니다.


IoC 및 관련 SHA 256

PE_XIAOBAMINER.SM-O (infectors)

  • 11abb44de53807e32980a010a473514694f901841e63ab33f5e0ff8754009b47
  • 6d870d18702c0871fb0d00db629dab94757090467c4d9b1420e1e9518779a285

PE_XIAOBAMINER.SM (infected)

  • 19805a35adace41ee871cc8baa74a2ead533a5d6734a2108e438d4c7ca2c4103
  • 3333967f3407ccd5f930b50ac1699edc71c6c76c194f2e114a3f06ce7ab78c4c

Ransom XIAOBA

  • a322da0be4f0be8d85eab815ca708c8452b63f24d0e2d2d6d896a9f9331a6244

[원문: Ransomware XIAOBA Repurposed as File Infector and Cryptocurrency Miner]