USB로 전파되는 암호화폐 채굴 악성코드 유포 사례
개요
AhnLab SEcurity intelligence Center(ASEC)은 최근 국내에 USB로 전파되는 암호화폐 채굴 악성코드가 유포되는 정황을 확인하였다. 근래에 들어 암호화폐 가격 상승과 함께 사용자 동의 없이 PC 자원을 활용하여 암호화폐를 채굴하는 악성코드(Crypto-Mining)가 활발히 유포되고 있다. 암호화폐 채굴 자체는 불법이 아니지만, 사용자 허가 없이 시스템 성능을 저하시키는 암호화폐 채굴 프로그램을 PC에 설치하는 행위는 불법으로 간주될 수 있다. 이번에 확인된 공격 사례에서는 USB를 통해 전파되는 모네로(Monero) 채굴 악성코드가 발견되었으며, 공격자는 피해자의 시스템 설정을 조작하여 Windows Defender 예외 설정 추가, HVCI(Hypervisor Protected Code Integrity) 비활성화, 시스템 전력 관리 변경 등 보안 제품 탐지 회피 및 채굴 성능 PC 최적화를 수행하였다. 또한, PostgreSQL 데이터베이스를 이용한 C&C 통신과 DLL Sideloading 기법을 활용한 실행 우회 등의 공격 특징을 보였다. 특히, USB를 이용한 자동 전파 기능을 통해 감염 규모가 빠르게 확산되었으며, 공격자는 감염된 시스템의 CPU 및 GPU 자원을 무단으로 사용하여 25년 2월 6일 기준 하루 평균 100만 원 이상의 수익을 창출한 것으로 분석된다. (https://xmr.nanopool.org/account/8B9w28VLcpJhvGywhcqocd1uzH7QPpNw6izkWwBtgkqscwV4joMAAGPJ2xDM6k27bvH1WWkNa254eG3xAjFaWxaAFiXjZLg)
[그림 1] 공격자가 암호화폐 채굴 악성코드로 벌어들인 수익 현황
분석
전체적인 공격의 동작 흐름은 아래 [그림 2]와 같다. ① 바로가기 파일을 통한 악성코드 실행 → ② 다운로더 악성코드 서비스 등록 및 실행 → ③ 시스템 설정 변경 → ④ PostgreSQL DB를 이용한 C&C 통신 수행 → ⑤ 암호화폐 채굴 악성코드 다운로드 및 실행 → ⑥ USB 전파의 순서로 진행된다
[그림 2] USB로 전파되는 암호화폐 채굴 악성코드 동작 흐름
결론
이번 사례에서 확인된 암호화폐 채굴 악성코드는 USB를 통한 전파, 시스템 설정 변경, 보안 우회 기법을 활용하여 감염 지속성을 극대화하는 특징을 보였다. 특히, PostgreSQL 데이터베이스를 이용한 C&C 통신, DLL Sideloading 기법을 활용한 실행 우회, Windows Defender 예외 설정을 통한 탐지 회피, 하이버부팅 비활성화로 채굴 성능 최적화 등의 기법을 적극적으로 사용하여 보안 솔루션의 탐지를 회피하였다.
또한, USB 감염 기법을 통해 불특정 다수에게 확산되었으며 감염된 시스템의 CPU 및 GPU 자원을 무단으로 사용하여 공격자에게 지속적인 수익을 발생시키는 구조로 되어 있다. 이에 따라 사용자는 AV와 같은 보안 제품을 최신 상태로 유지하여 피해를 예방해야 한다.
AhnLab TIP 본 보고서에서는 [그림 2]에서 설명한 전체 공격 동작 흐름에 대한 분석과 공격자가 구축한 원격 데이터베이스 주소 및 계정 정보, PostgreSQL DB 서버로부터 주고 받는 상세 데이터 정보를 확인할 수 있다.
