이력서를 가장한 모네로 코인 채굴 악성코드(이하 마이너)가 지난 11월부터 이메일을 통해 불특정 다수에게 꾸준히 유포되고 있다. 이에 따라 아래 본문에서 언급할 내용의 메일을 수신한 사용자는 코인 마이너가 담긴 첨부파일을 실행하지 않도록 각별한 주의가 필요하다.

 

모네로 코인 마이너는 [그림 1]과 같은 메일 내용에 첨부 파일 형태로 유포된 것으로 추정된다.

 


[그림 1] 메일 본문 중 일부

 

마이너 악성코드가 첨부된 압축 파일은 .egg 확장자를 사용하며, 압축된 파일 목록은 [그림 2]와 같다.

 

[그림 2] 압축 파일 목록

 

압축된 파일의 종류에는 바로 가기(*.lnk) 파일과 마이너(facebook.exe) 파일 두 종류가 있는데, 이 중 바로 가기 파일의 경우 이전 ASEC 블로그(http://asec.ahnlab.com/1083, 랜섬웨어에서 비트코인 실행으로 변경된 LNK(바로 가기)파일 주의)에서 다룬 바 있다.

 

마이너(facebook.exe) 파일은 파일 속성에 숨김 속성이 부여되어 있어 윈도우 기본 폴더 구성 옵션을 사용하는 일반 사용자는 [그림 3]과 같이 압축 해제 시 마이너 파일의 존재 여부를 확인할 수 없다. 이러한 특징은 사용자가 이력서 바로 가기 파일을 실행하도록 유도함으로써 최종적으로 사용자 PC에 마이너 악성코드를 감염 시키고자 하는 공격자의 의도를 파악할 수 있다.

 

[그림 3] 압축 해제 된 폴더

 

[그림 4] 이력서(사진첨부)_180220.doc.lnk의 바로 가기 대상

 

실행된 마이너의 주요 특징으로는 비교적 최근에 컴파일된 점, 윈도우 정상 프로세스에 채굴 프로그램을 인젝션하여 동작하는 것이 특징이다.

 

[그림 5] 모네로 악성코드의 전체적인 동작 과정

 

분석 당시 유포되었던 마이너는 2018/2/20일에 제작되었으며, 이 컴파일 시간은 지난 11월 이후로도 공격자는 꾸준히 마이너를 제작해오고 있다는 것을 알 수 있다.

 

[그림 6] facebook.exe의 컴파일 시간

 

여기서 주목할 점은 [그림 5]의 전체 동작 과정에서 윈도우 관련 정상 파일의 복사본인 svhost.exe에 인젝션되는 악성 PE가 지난 11월에 제작된 것으로 보아 공격자는 최근까지 파일의 외형만 바꾼 채로 마이너 악성코드를 그대로 사용하고 있는 것을 확인할 수 있다.

 

[그림 7] 인젝션되는 악성 PE의 컴파일 시간

 

마이너(facebook.exe)가 실행되면 vbc.exe(visual basic command line compiler)의 복사본인 svhost.exeXMRig(모네로 채굴 프로그램)를 포함한 악성 PE를 인젝션한다.

 

이후 인젝션된 svhost.exe는 로컬 시스템의 운영체제 환경에 따라 특정 정상 프로세스에 모네로 채굴 프로그램을 인젝션하여 동작한다.

 

모네로 채굴 프로그램은 UPX로 실행 압축되어 있는 형태로 악성 PE에 포함되어 있다.

 

[그림 8] UPX로 실행 압축된 XMRig(모네로 채굴 프로그램)

 

[그림 9] 실행되는 XMRig의 버전 정보

 

채굴 프로그램을 정상 프로세스에 인젝션 하면서 악성코드 제작자는 자신의 모네로 코인 월렛 주소 정보를 실행 인자로 전달하여 동작시키는데, 전달된 인자 정보는 ASEC 내부에서 사용하는 자동 분석 인프라인 라피트(Rapit)에서도 확인할 수 있다.

 

[그림 10] ASEC 자동 분석 인프라 Rapit의 프로세스 트리 정보

 

마이너 실행 인자 값 의미

-o

마이닝 서버의 URL

-u

공격자의 모네로 코인 월렛 정보

-p

마이닝 서버의 패스워드

-v

알고리즘

-t

사용자 cpu 코어 수에 따라 바뀌는 값

[1] XMRig 실행 인자 정보

 

또한, 공격자는 사용자의 PC에서 마이너를 지속적으로 실행시키기 위해서 특이한 기법을 사용하고 있는데, 해당 기법은 [그림 10]의 프로세스 트리 정보에서 채굴 프로그램(wuapp.exe)이 동작하는 중에 사용자가 작업 관리자(taskmgr.exe)를 실행하면 wuapp.exe의 부모 프로세스인 svhost.exe에서는 현재 프로세스 목록 중 작업 관리자 프로세스의 존재 여부를 확인하여, 작업 관리자가 실행 중일 경우에 일시적으로 채굴 프로그램(wuapp.exe)을 종료한다.

 

, svhost.exe taskmgr.exe 프로세스에 대한 감시 기능이 있어 taskmgr.exe 프로세스가 실행 중일 경우에는 채굴 프로그램(wuapp.exe)을 실행시키지 않는다.

 

이후 작업 관리자 프로세스가 종료되면 다시 정상 프로세스(wuapp.exe)에 채굴 프로그램을 인젝션 하여 마이너 행위를 수행한다. 이러한 과정은 부모 프로세스인 svhost.exe가 종료될 때까지 수행된다.

 

따라서, 확실한 치료를 위해 사용자는 마이너가 인젝션된 부모 프로세스(svhost.exe)와 자식 프로세스(wuapp.exe)를 찾아 함께 종료 해야한다. 운영체제 환경에 따라 모네로 채굴 프로그램(XMRig)가 인젝션되는 정상 프로세스는 [ 2]와 같다.

 

운영체제 환경

인젝션 되는 정상 프로세스

32Bit 환경 OS

C:\Windows\notepad.exe

C:\Windows\explorer.exe

64Bit Windows XP

C:\Windows\SysWOW64\wuapp.exe

C:\Windows\SysWOW64\svchost.exe

Windows Vista 이상의 64Bit 환경 OS

C:\Windows\System32\wuapp.exe

C:\Windows\System32\svchost.exe

[2] 운영체제 환경에 따라 인젝션되는 정상 프로세스 종류

 

현재 V3 제품에서는 본문 내용과 같은 마이너 악성코드가 탐지될 경우에 V3의 행위 진단에 의해서 부모 프로세스도 함께 종료된다.

 

V3 제품군에서는 모네로 마이너 악성코드를 다음의 진단명으로 탐지 및 차단하고 있다.

 

파일 진단 - Trojan/Win32.CoinMiner.C2414884

(엔진 반영 일자 : 2018.03.03.00)

(MD5 : ec02c65f24ac8faa2179bffe8f49d331)

행위 진단 - Malware/MDP.CoinMiner.M1845


Posted by 분석팀