보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 채굴 or 랜섬웨어 '악성코드가 PC 상태 따져 다른 기능 수행' [전자신문 Etnews 7월10일자_전자신문 20180711일자 본지 11면]
아이디 | admin
날  짜 | 2018-07-11
조  회 | 252

채굴 or 랜섬웨어 '악성코드가 PC 상태 따져 다른 기능 수행'


'암호화폐를 채굴할까, 랜섬웨어를 감염시킬까.' 

피해자 PC 상태를 파악해 암호화폐를 채굴할지, 랜섬웨어를 감염시킬지 결정하는 악성코드가 발견됐다. 

카스퍼스키랩은 암호화폐 채굴기와 랜섬웨어 중 수익성을 따져 시스템을 감염시키는 흥미로운 악성코드를 발견했다. 랜섬웨어와 암호화폐 채굴 공격은 올해 가장 많이 발생하는 위협이다. 불특정 다수를 표적으로 돈을 버는 목적이 강하다. 모두 암호화폐와 관련된다.

GettyImages
<GettyImages>

랜섬웨어는 피해자가 귀중한 파일을 갖고 있지 않으면 돈을 받아낼 수 없다. 랜섬웨어에 감염된 개인은 암호화폐를 지불하지 않고 PC를 포맷하는 사례가 많다. 수익성이 떨어진 공격자는 피해자 PC를 활용해 암호화폐를 채굴하는 방향으로 선회했다. 이제 공격자는 악성코드를 보내 어느 쪽이 수익성이 높은지를 따진 후 채굴이나 랜섬 기능을 결정한다.

카스퍼스키랩이 발견한 'Rakhni' 랜섬웨어 패밀리 변종은 델파이 프로그래밍 언어로 제작됐다. 공격자는 마이크로소프트 워드 파일을 첨부한 스피어피싱 이메일로 악성코드를 감염시킨다. 피해자가 문서 파일을 열면 저장하고 편집을 활성화하라고 안내한다. 이 문서는 PDF 아이콘을 포함한다. 이를 클릭하면 피해자 PC에서 악성코드를 실행하고 가짜 에러 메시지 창을 표시한다. 피해자 문서를 여는 데 필요한 시스템 파일이 누락됐다고 생각하게 만든다.

트로이잔이 실행되기 전에 보여주는 UAC 윈도 (자료:카스퍼스키랩)
<트로이잔이 실행되기 전에 보여주는 UAC 윈도 (자료:카스퍼스키랩)>

악성코드는 안티 가상머신(VM)과 안티 샌드박스 검사를 수행해 발각되지 않고 시스템을 감염시킬 수 있을지 확인한다. 조건을 만족하면 최종 기능을 랜섬웨어로 할지 채굴기로 할지 결정하는 작업을 진행한다. 

피해 PC AppData 섹션에 '비트코인(Bitcoin)' 폴더가 있으면 랜섬웨어를 설치한다. 비트코인 폴더를 암호화했을 경우 몸값을 지불할 가능성이 높다. 공격자는 RSA-1024 암호화 알고리즘을 이용해 파일을 암호화한다. 

비트코인 폴더가 없고 기기에 두 개 이상 논리 프로세서가 있으면 암호화폐 채굴기를 감염시킨다. PC가 채굴 악성코드에 감염되면 마이너게이트라는 유틸리티를 이용해 '모네로'와 '모네로 오리지널' '대시' 암호화폐를 채굴한다. 

비트코인 폴더도 없고 논리 프로세서도 하나인 PC에는 웜으로 작동한다. 해당 악성코드는 공유 리소스를 활용해 내부 네트워크에 있는 모든 PC에 자신을 복제한다. 악성코드는 실행중인 프로세스 목록과 스크린 샷 첨부 파일을 빼돌리는 스파이웨어 기능도 있다. 공격자는 악성코드를 종료하기 전에 임시 파일을 삭제하는 기능도 넣었다.

해당 악성코드는 어떤 안티바이러스가 실행되는지 검사한다. 백신 프로세스가 검색되지 않으면 윈도 시스템 내부에 있는 '윈도 디펜더'를 사용하지 못하게 설정한다. 피해자는 주로 러시아와 카자흐스탄, 우크라이나, 독일, 인도 등이다. 

이런 공격에 당하지 않으려면 모르는 사용자에게 온 이메일이나 수상한 파일은 클릭하지 않는다. 백신과 상용 소프트웨어를 최신 상태로 유지한다. 

김인순 보안 전문기자 insoon@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 296
254 북한 해커 꼬리 잡기 [전자신문 Etnews 9월 13일자_전자신문 201.. 관리자 2018-09-14 30
253 끝나지 않은 랜섬웨어 '공포' [전자신문 Etnews 9월 1.. 관리자 2018-09-14 28
252 세상을 변혁시키는 원동력, 사물인터넷 [전자신문 Etnews 9월 11.. 관리자 2018-09-12 35
251 "한국인터넷진흥원(KISA)을 해킹하라" [전자신문 Etnews 9월 2.. 관리자 2018-09-03 68
250 게놈 정보의 민주화 [ET단상] [전자신문 Etnews 8월28일자_전자.. 관리자 2018-08-29 75
249 KISA, 온라인광고 관련 피해예방 나선다 [전자신문 Etnews 8월2.. 관리자 2018-08-29 74
248 과기정통부, 양자정보통신 등 고위험기술 투자 강화 [전자신문 .. 관리자 2018-08-29 73
247 “해킹-변조 걱정 사라졌네” 은행 공동 블록체인 인증서 나왔.. 관리자 2018-08-28 80
246 일감몰아주기 규제 강화에 대형 IT서비스업계도 촉각...매출 구.. 관리자 2018-08-28 76
245 北 라자루스...암호화폐거래소 '맥' 사용자 노렸다 [.. 관리자 2018-08-27 77
244 ICT코리아, 5년 뒤가 두렵다 [벼랑 끝 ICT코리아] [전자신문 Etn.. 관리자 2018-08-27 79
243 소프트웨어 보안, '왼쪽'으로 옮겨야 [전자신문 Etne.. 관리자 2018-08-22 84
242 기승전'암호화폐', 오픈소스 취약점마저 '암호화.. 관리자 2018-08-22 77
241 中 게임패드...동의 없이 과도한 개인정보 유출 [전자신문 Etnew.. 관리자 2018-08-22 86
240 양방향 고객 참여 지능형 AMI 미래 [전자신문 Etnews 8월20일자.. 관리자 2018-08-21 94
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265