이더리움 클래식 코인을 채굴하는 코인 마이너 공격 사례

ASEC 분석팀은 국내외를 대상으로 유포되고 있는 코인 마이너 악성코드들을 모니터링하고 있으며, 과거 다수의 블로그들을 통해 다양한 유형의 코인 마이너 악성코드 공격 사례를 소개한 바 있다. 최근에는 이더리움 클래식 코인을 마이닝하는 악성코드들이 확인되고 있어 본 포스팅에서 소개하려고 한다.


0. 개요

코인 마이너 악성코드는 사용자의 인지 없이 설치되어 시스템의 자원을 이용해 가상화폐를 채굴하는 악성코드로서 감염 시스템의 성능 저하를 유발한다. 코인 마이너를 유포하는 공격자들은 이러한 행위 자체가 불법이기 때문에 추적을 방해하기 위해 주로 모네로와 같이 익명성을 보장하는 코인을 마이닝하는 경향이 있다. 이에 따라 실제 공격에서 확인되는 코인 마이너 악성코드들은 모네로 코인 마이너 도구인 XMRig가 다수를 차지하고 있다.

물론 모네로만큼은 아니라고 하더라도 다양한 코인들을 채굴하는 마이너가 공격에 사용될 수 있다. 대표적으로 이더리움 코인이 있는데, 이더리움은 비트코인에 이어 두 번째로 시가총액이 큰 가상화폐이다. 대표적인 가상화폐이다 보니 다양한 채굴 도구들이 존재하는데, lolMiner 외에 Gminer, NbMiner, Trex, PhoenixMiner 등이 이더리움 코인에 대한 마이닝을 지원하였다.

참고로 2022년 9월 이더리움은 합의 메커니즘을 작업 증명 (PoW : Proof of Work) 방식에서 지분 증명(PoS : Proof of Stake) 방식으로 전환하는 업그레이드가 진행되었다. 즉 과거에는 채굴 도구를 이용해 CPU 및 GPU와 같은 시스템의 자원을 소모하면서 복잡한 연산을 푸는 작업 증명 방식을 통해 코인을 보상으로 받았지만, 이제는 지분 증명 방식으로 전환됨에 따라 마이닝 과정을 필요로 하지 않는다.

이더리움은 과거 The DAO 해킹 사건 이후 2016년 7월 하드포크 과정을 통해 신규 버전 즉 현재의 이더리움과 기존 버전 즉 이더리움 클래식으로 나뉘었다. 지분 증명 방식으로 전환된 것은 이더리움이고, 이더리움 클래식은 아직도 작업 증명 방식을 사용하고 있다.

모네로 코인에 비해 상대적으로 적은 수량이지만 이더리움 코인과 이더리움 클래식 코인을 채굴하는 마이너 악성코드는 과거부터 꾸준히 유포되고 있었다. 비록 이더리움 코인에 대한 채굴이 불가능해져 이더리움 코인을 채굴하는 마이너는 사라졌지만, 이더리움 클래식 코인은 아직 채굴이 가능하기 때문에 이를 채굴하는 마이너 악성코드들은 최근까지도 유포되고 있다. 참고로 위에서 다룬 다양한 채굴 도구들은 이더리움 외에 이더리움 클래식을 함께 지원하기 때문에 현재까지도 공격자들이 채굴에 사용하고 있다.


1. 이더리움 코인 마이너 공격 사례

1.1. 디스코드를 이용한 유포 사례

2021년 ASEC 블로그를 통해 이더리움 코인을 채굴하는 공격 사례를 다루었다.[1] 공격자는 로블록스 게임 핵으로 위장하여 국내 사용자들을 대상으로 디스코드를 통해 유포하였으며, 다양한 악성코드들과 함께 사용자 시스템에 lolMiner를 설치해 이더리움 코인을 채굴하였다.

Figure 1. 코인 마이너 악성코드 실행 흐름도
Figure 2. lolMiner를 이용해 이더리움 코인을 마이닝하는 악성코드
  • 공격자의 이더리움 지갑 주소 : 0x5421D5E7028a5B7DF436FEE75C59d9977ddbfd0D


1.2. dnSpy 툴을 위장한 공격 사례

이외에도 2022년 1월에는 오픈소스 닷넷 바이너리 분석 도구인 dnSpy를 위장한 악성코드가 유포되었는데 여기에 이더리움을 마이닝하는 코인 마이너가 포함되었다. Bleeping Computer에 따르면 공격자는 깃허브뿐만 아니라 공식 홈페이지로 위장한 사이트를 생성하여 사용자들이 악성코드가 포함된 dnSpy를 설치하도록 유도하였다.[2]

실제 악성코드는 압축 파일에 존재하는 모듈들 중에서 dnspy.dll 파일의 내부에 존재한다. 사용자가 dnSpy를 실행할 경우 dnSpy.dll이 로드되어 내부에 존재하는 dnSpyPlus.exe라는 이름을 갖는 난독화된 닷넷 다운로더를 메모리 상에 로드하여 실행하는 구조이다. dnSpyPlus는 다음과 같이 다수의 명령을 실행하여 작업 스케줄러에 다양한 명령들을 등록해 주기적으로 동작하게 한다.

Figure 3. 다수의 악성코드를 설치하는 dnSpy 악성코드

등록되는 명령들은 Defender Control (Windows Defender 비활성화 도구), Quasar RAT, ClipBanker, 이더리움 마이너를 포함한 다양한 악성코드들을 설치하는 명령들이다. 해당 공격 방식의 특징이라고 한다면 작업 스케줄러에 VBS 명령을 등록하여 mshta로 실행시킨다는 점과 악성코드 설치에 curl을 이용한다는 점이 있다.

설치되는 여러 악성코드들 중에서 m.exe는 코인 마이너 악성코드로서, 동일 경로에 NbMiner를 생성하고 설정 정보를 포함한 인자와 함께 실행시켜 감염 시스템에서 이더리움 코인을 채굴한다.

Figure 4. 이더리움 코인을 채굴하는 NbMiner 악성코드

> nbminer.exe -a ethash -o stratum+tcp://asia2.ethermine.org:4444 -u 0x4dd10a91e43bc7761e56da692471cd38c4aaa426.[생략]

  • 공격자의 이더리움 지갑 주소 : 0x4dd10a91e43bc7761e56da692471cd38c4aaa426


2. 이더리움 클래식 코인 마이너 공격 사례

2.1. 이더리움 클래식으로의 변화

ASEC 분석팀에서는 최근 코인 마이너 악성코드들을 모니터링하던 중 이더리움 클래식 코인을 마이닝하는 악성코드가 유포되고 있는 것을 확인하였다. 최초 유포 방식은 확인되지 않지만 다음과 같이 Curl을 이용해 다운로드되어 설치되는 것과 연관 파일들 중에 Defender Control, ClipBanker 등 dnSpy를 위장해 유포되었던 사례와 유사한 형태라는 점이 확인되었다.

Figure 5. Curl을 이용해 설치되는 이더리움 클래식 마이너

이외에도 연관 정보를 확인하던 중 폴란드의 IT 포럼인 elektroda.pl 에서 해당 악성코드의 실제 감염 사례를 확인할 수 있었다. 작업 스케줄러에 등록된 명령들을 보면 자사 ASD(AhnLab Smart Defense) 인프라 로그에서 확인된 파일의 경로명 및 다운로드 주소와 동일하며, 등록된 다양한 명령들이 실제 위의 dnSpy 위장 악성코드 사례와 거의 유사한 것을 알 수 있다.[3]

Figure 6. 포럼에 게시된 감염 시스템 정보

구체적으로 살펴보자면 VBS 명령을 실행하는 mshta를 작업 스케줄러에 등록하여 동작시키는 방식과 윈도우 디펜더를 비활성화시키는 다수의 명령들이 등록된다는 점이 있다. 그리고 Curl을 이용해 악성코드를 다운로드한다는 점과 설치되는 악성코드들의 유형이 거의 동일하다. 차이점이 있다면 기존에는 이더리움 코인을 채굴하는 마이너가 사용된 것과 달리 최근 확인되고 있는 형태는 이더리움 클래식 코인을 채굴한다는 점이다.

각 주소마다 다운로드되는 파일이 달라지긴 하지만 확인된 주소에서 설치되는 유형은 이더리움 클래식 코인 마이너, ClipBanker 유형과 윈도우 디펜더 비활성화 도구인 Defender Control이 있다. 이외에도 RAT 및 인포스틸러 유형의 악성코드들도 설치된다. 다음은 각각의 악성코드들에 대해 간략하게 정리한다.


A. 이더리움 클래식 코인 마이너

설치되는 코인 마이너 악성코드들은 “%APPDATA%\DnsCache\dnsCleaner.exe” 경로에 생성된다. dnsCleaner.exe는 드로퍼 악성코드로서 동일한 경로에 dnscache.exe라는 이름으로 코인 마이너를 생성한 후 인자를 주고 실행시킨다. 생성되는 코인 마이너는 lolMiner를 설치하는 유형도 있고 PhoenixMiner를 설치하는 유형도 있다.

다음은 각각의 사례 별로 생성되는 코인 마이너 종류 및 인자 정보 즉 공격자의 지갑 주소이다.

lolMiner

Figure 7. lolMiner 실행 인자

PhoenixMiner #1

“%APPDATA%\DnsCache\dnscache.exe” -log 0 -pool ssl://asia1-etc.ethermine.org:5555 -log 0 -pool2 ssl://us1-etc.ethermine.org:5555 -wal 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6. [생략]

PhoenixMiner #2

“%APPDATA%\DnsCache\dnscache.exe” -log 0 -pool ssl://asia1-etc.ethermine.org:5555 -log 0 -pool2 ssl://eu1-etc.ethermine.org:5555 -wal 0x4dd10a91e43bc7761e56da692471cd38c4aaa426.[생략]

  • 공격자의 이더리움 클래식 지갑 주소 1 : 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6
  • 공격자의 이더리움 클래식 지갑 주소 2 : 0x4dd10a91e43bc7761e56da692471cd38c4aaa426

B. ClipBanker

ClipBanker는 클립보드의 데이터를 비교하여 만약 가상화폐의 지갑 주소인 경우 이를 공격자의 지갑 주소로 변경하는 유형의 악성코드이다. ClipBanker는 감염 시스템에서 동작하면서 현재 사용자가 복사한 데이터 즉 클립보드가 문자열인 경우 다음과 같은 정규 표현식에 매칭되는지를 검사한다.

Figure 8. 클립보드 문자열 비교에 사용되는 정규 표현식

각각의 정규 표현식은 비트코인, 이더리움, 라이트코인 등 다양한 코인들의 지갑 주소를 검증하는데 사용된다. 만약 정규 표현식에 매칭될 경우에는 공격자의 지갑 주소로 변경하는데, 다음은 각각의 코인 별로 변경할 공격자의 지갑 주소들 목록이다.

– Bitcoin P2PKH (btc1) : 16ks5o3U2Vdo9ZVM22whdhaEB7PqitbFyR
– Bitcoin P2SH (btc3) : 3JzzbKbSpKcgxa95xym1JBJRRgv1Ps5azu
– Bitcoin Bech32 (btcbc2) : bc1qnswqxhwlq32vcfy8j8s227amt74j7vhxfnhwx6
– Ethereum (eth) : 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6
– TRON (trx) : TDvZcjZ6tDVL3Hsc8dPK99bSr3QL2MmhAb
– Stellar (xlm) : GBMNM7KM7CKNK4BNOPWCXRDZ4HI572RW4V7TEJSCHPUFTS5I4BFIW7IY
– Ripple (xrp) : rw4bq6adT8gPQfNLxrv7Cq83CxQPANw4BR
– Litecoin (ltc) : LWwWkjczWKohkxVvqj5W22G3j2PSRmnUT6
– NEO Coin (nec) : 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6
– Bitcoin Cash (bch) : qrjrvnw4y7mztw9pm2p3j2yennt9g27n3u9pksahg7

참고로 NEO 코인의 지갑 주소와 이더리움의 지갑 주소가 동일한 것이 특징이다.


C. Quasar RAT

이전의 위장 dnSpy 유포 사례처럼 Quasar RAT은 최근까지도 사용되고 있다. 공격자는 “OldBot”이라는 이름 즉 태그를 붙인 Quasar RAT을 공격에 사용하였다.

Figure 9. OldBot 태그를 갖는 Quasar RAT

Quasar RAT의 C&C 주소는 위의 루틴에서 확인되는 외부 주소에서 구한다. 실제 해당 웹사이트에 접속해 보면 Quasar RAT의 C&C 서버 주소를 확인할 수 있다.

Figure 10. Quasar RAT C&C 주소가 업로드된 웹페이지

D. Vidar InfoStealer

공격자는 이외에도 Vidar를 공격에 사용하였다. Vidar는 계정 정보 외에도 웹 히스토리, 쿠키, 가상화폐 지갑 주소 등의 다양한 사용자 정보를 탈취하는 인포스틸러 악성코드로서 정보 탈취 외에 추가 악성코드를 설치하는 다운로더 기능도 지원한다.

최근 유포되고 있는 Vidar는 Steam, Telegram, Mastodon과 같은 다양한 플랫폼을 활용해 C&C 주소를 구한다.[4] 다음은 공격에 사용된 Vidar가 접속하는 Steam 및 Mastodon 프로필 웹 페이지이며 아직도 C&C 주소가 적혀있다.

Figure 11. Vidar의 C&C 주소


3. 결론

과거 dnSpy를 위장한 악성코드를 유포하여 이더리움 코인을 채굴했던 공격자는 최근 채굴이 불가능해짐에 따라 이더리움 클래식 코인을 채굴하는 것으로 전략을 변경한 것으로 추정된다. 현재 유포 방식은 확인되지 않지만 공격자는 과거 공식 홈페이지로 위장한 웹사이트를 유포 경로로 사용한 이력이 있다.

사용자들은 알려지지 않은 경로에서 다운로드한 실행 파일을 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Malware/Win32.RL_Generic.C4124695 (2020.06.14.01)
– Infostealer/Win.Vidar.R540446 (2022.12.13.01)
– Trojan/Win.Hpgen.R534371 (2022.11.14.01)
– Trojan/Win.ClipBanker.C4446208 (2021.04.30.02)
– Trojan/Win.Generic.R533377 (2022.11.07.02)
– Trojan/Win.Hpgen.R532433 (2022.11.01.02)
– Backdoor/Win32.QuasarRAT.R341693 (2020.06.27.06)
– HackTool/Win.Disabler.R442117 (2021.09.20.03)
– CoinMiner/Win.Generic.R551967 (2023.01.17.02)
– Win-Trojan/Miner3.Exp (2020.01.23.00)
– CoinMiner/Win.PhoenixMiner.R263897 (2021.04.13.00)

행위 진단
– Malware/MDP.Behavior.M2318
– SystemManipulation/MDP.DisableWindowsDefender.M2769

IOC
MD5

– 5503eec7cb0ca25f1ecb0702acd14fba : 이더리움 클래식 마이너 (m.jpg)
– 436efede151a6b24171e4f7e7deb07bc : 이더리움 클래식 마이너 (m.jpg, u.exe, obs.exe)
– aa2294040015cedbf94a56845f80e144 : 이더리움 클래식 마이너 (m.jpg)
– 51ff42d909a879d42eb5f0e643aab806 : PhoenixMiner (dnscache.exe)
– 1b2878db748ddb13a90444ab36bae825 : lolMiner (dnscache.exe)
– 76b091bf16f1c11a72c4df12974215f0 : ClipBanker (b.exe)
– 54539d31c30670f1f9c0104ed1b6e661 : Quasar RAT (m.jpg)
– 8a49833ca67c783481869f99fba5566e : Vidar InfoStealer (obs.exe)
– f7bf1fd41df3159c5d6142c2b696bef3 : Vidar InfoStealer (obs.exe)
– 1575b49ffd9402c9b9186d803d491732 : Vidar InfoStealer (obs.exe)
– ad7858b9bbe0bdccae61cff787024ef9 : Vidar InfoStealer (obs.exe)
– 0a50081a6cd37aea0945c91de91c5d97 : Defender Control (d.exe)

C&C
– hxxps://priv8note[.]net/r/ipcontent : Quasar RAT
– 149.102.129[.]194:22 : Quasar RAT
– hxxps://steamcommunity[.]com/profiles/76561199436777531 : Vidar C&C
– hxxp://95.217.29[.]31/1758
– hxxp://116.202.3[.]192/1758
– hxxp://49.12.113[.]223/1758
– hxxps://mas[.]to/@ofadex : Vidar C&C
– hxxp://95.217.31[.]129/1758
– hxxp://88.99.120[.]225/1758
– hxxp://195.201.252[.]143/1758
– hxxps://mas[.]to/@jogifoy492 : Vidar C&C
– hxxp://95.216.182[.]219/1758
– hxxp://95.217.246[.]41/1758
– hxxp://95.217.27[.]155/1758
– hxxps://c[.]im/@xinibin420 : Vidar C&C
– hxxp://95.216.181[.]10/1758
– hxxp://95.216.182[.]38/1758

다운로드 주소
– hxxp://176.57.150[.]117/m.jpg
– hxxp://176.57.150[.]117/b.exe
– hxxp://176.57.150[.]117/d.exe
– hxxp://176.57.150[.]117/u.exe
– hxxp://176.57.150[.]117/obs.exe

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest

0 댓글
Inline Feedbacks
View all comments