보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 채굴 or 랜섬웨어 '악성코드가 PC 상태 따져 다른 기능 수행' [전자신문 Etnews 7월10일자_전자신문 20180711일자 본지 11면]
아이디 | admin
날  짜 | 2018-07-11
조  회 | 447

채굴 or 랜섬웨어 '악성코드가 PC 상태 따져 다른 기능 수행'


'암호화폐를 채굴할까, 랜섬웨어를 감염시킬까.' 

피해자 PC 상태를 파악해 암호화폐를 채굴할지, 랜섬웨어를 감염시킬지 결정하는 악성코드가 발견됐다. 

카스퍼스키랩은 암호화폐 채굴기와 랜섬웨어 중 수익성을 따져 시스템을 감염시키는 흥미로운 악성코드를 발견했다. 랜섬웨어와 암호화폐 채굴 공격은 올해 가장 많이 발생하는 위협이다. 불특정 다수를 표적으로 돈을 버는 목적이 강하다. 모두 암호화폐와 관련된다.

GettyImages
<GettyImages>

랜섬웨어는 피해자가 귀중한 파일을 갖고 있지 않으면 돈을 받아낼 수 없다. 랜섬웨어에 감염된 개인은 암호화폐를 지불하지 않고 PC를 포맷하는 사례가 많다. 수익성이 떨어진 공격자는 피해자 PC를 활용해 암호화폐를 채굴하는 방향으로 선회했다. 이제 공격자는 악성코드를 보내 어느 쪽이 수익성이 높은지를 따진 후 채굴이나 랜섬 기능을 결정한다.

카스퍼스키랩이 발견한 'Rakhni' 랜섬웨어 패밀리 변종은 델파이 프로그래밍 언어로 제작됐다. 공격자는 마이크로소프트 워드 파일을 첨부한 스피어피싱 이메일로 악성코드를 감염시킨다. 피해자가 문서 파일을 열면 저장하고 편집을 활성화하라고 안내한다. 이 문서는 PDF 아이콘을 포함한다. 이를 클릭하면 피해자 PC에서 악성코드를 실행하고 가짜 에러 메시지 창을 표시한다. 피해자 문서를 여는 데 필요한 시스템 파일이 누락됐다고 생각하게 만든다.

트로이잔이 실행되기 전에 보여주는 UAC 윈도 (자료:카스퍼스키랩)
<트로이잔이 실행되기 전에 보여주는 UAC 윈도 (자료:카스퍼스키랩)>

악성코드는 안티 가상머신(VM)과 안티 샌드박스 검사를 수행해 발각되지 않고 시스템을 감염시킬 수 있을지 확인한다. 조건을 만족하면 최종 기능을 랜섬웨어로 할지 채굴기로 할지 결정하는 작업을 진행한다. 

피해 PC AppData 섹션에 '비트코인(Bitcoin)' 폴더가 있으면 랜섬웨어를 설치한다. 비트코인 폴더를 암호화했을 경우 몸값을 지불할 가능성이 높다. 공격자는 RSA-1024 암호화 알고리즘을 이용해 파일을 암호화한다. 

비트코인 폴더가 없고 기기에 두 개 이상 논리 프로세서가 있으면 암호화폐 채굴기를 감염시킨다. PC가 채굴 악성코드에 감염되면 마이너게이트라는 유틸리티를 이용해 '모네로'와 '모네로 오리지널' '대시' 암호화폐를 채굴한다. 

비트코인 폴더도 없고 논리 프로세서도 하나인 PC에는 웜으로 작동한다. 해당 악성코드는 공유 리소스를 활용해 내부 네트워크에 있는 모든 PC에 자신을 복제한다. 악성코드는 실행중인 프로세스 목록과 스크린 샷 첨부 파일을 빼돌리는 스파이웨어 기능도 있다. 공격자는 악성코드를 종료하기 전에 임시 파일을 삭제하는 기능도 넣었다.

해당 악성코드는 어떤 안티바이러스가 실행되는지 검사한다. 백신 프로세스가 검색되지 않으면 윈도 시스템 내부에 있는 '윈도 디펜더'를 사용하지 못하게 설정한다. 피해자는 주로 러시아와 카자흐스탄, 우크라이나, 독일, 인도 등이다. 

이런 공격에 당하지 않으려면 모르는 사용자에게 온 이메일이나 수상한 파일은 클릭하지 않는다. 백신과 상용 소프트웨어를 최신 상태로 유지한다. 

김인순 보안 전문기자 insoon@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 571
368 1년 째 멈춘 국방부 외부망 백신 구축사업...기존 업체와 소송전.. 관리자 2018-11-16 37
367 과기정통부, 중소기업에 ICT 표준기술 지원 [전자신문 Etnews 11.. 관리자 2018-11-16 32
366 공공 SW 소스코드 관리 소홀로 민간 시장 혼란 야기 [전자신문 E.. 관리자 2018-11-16 34
365 국방부, 국내 중소기업 경시 안 된다 [전자신문 Etnews 11월 15.. 관리자 2018-11-16 33
364 남북통신방송교류협력 종합발전계획 [전자신문 Etnews 11월 15일.. 관리자 2018-11-16 32
363 행안부, 정보관리 실태조사로 개인정보보호 강화한다 [전자신문.. 관리자 2018-11-15 40
362 인공지능이 농사짓는 시대...2세대 스마트팜 개발 [전자신문 Etn.. 관리자 2018-11-15 35
361 4차 산업혁명 성공을 이끄는 슈퍼컴퓨터 [전자신문 Etnews 11월1.. 관리자 2018-11-15 41
360 포스코ICT, 오일·가스 에너지 개발 현장까지 스마트 기술 적용 .. 관리자 2018-11-14 51
359 화웨이·샤오미, 국내 시장 현주소는 [전자신문 Etnews 11월13일.. 관리자 2018-11-14 48
358 4차 산업혁명 시대의 회계업계 준비 [전자신문 Etnews 11월13일.. 관리자 2018-11-14 48
357 기대되는 스마트 인테리어의 미래 [전자신문 Etnews 11월13일자_.. 관리자 2018-11-14 50
356 IT산업에 대한 규제의 칼 [전자신문 Etnews 11월12일자_전자신문.. 관리자 2018-11-13 55
355 '안정성'과 '보안성' 겸비 [눈앞에 온 5G, .. 관리자 2018-11-13 55
354 구글·페이스북 한국정부 삭제요청 '절반 수용', 미국.. 관리자 2018-11-13 52
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265