AhnLab EDR을 활용한 USB로 전파되는 국내 코인마이너 유포 사례 탐지

1. 개요

코인마이너는 주로 암호화폐를 채굴하기 위해 사용자의 컴퓨터 CPU와 GPU 자원을 몰래 사용하며, 이로 인해 컴퓨터 성능이 저하된다. 코인마이너는 주로 피싱 이메일, 악성 웹사이트, 시스템 취약점 등을 통해 유포되며, 해당 악성코드에 대한 분석은 ASEC Blog에서도 다룬 바[1] 있다. 이번 글에서는 앞서 포스팅한 글에서 분석된 코인마이너의 악성 행위를 자사 EDR 제품의 다이어그램을 통해 그 증적을 확인하고 탐지 내용에 대해 설명한다.

 

2. 권한 상승

감염된 USB에는 기존에 사용자가 보관한 파일들이 아닌 USB Drive.lnk라는 바로가기가 존재한다. USB Drive.lnk는 전파 중 생성한 rootdir라는 숨김 폴더 내부의 x<랜덤 6자리 숫자>.vbs 파일을 실행한다. 실행된 x<랜덤 6자리 숫자>.vbs 파일은 “C:\Windows(공백)\System32″ 명의 공백 폴더를 생성하는 x<랜덤 6자리 숫자>.bat 파일을 실행한다. 아래의 다이어그램은 x<랜덤 6자리 숫자>.bat 파일이 “C:\Windows(공백)\System32″ 명의 공백 폴더를 생성 및 접근하였을 때의 행위를 보여준다.

[그림 1]  “C:\Windows(공백)\System32″ 명의 공백 폴더를 생성 및 접근하였을 때의 행위 탐지

x<랜덤 6자리>.bat이 정상적으로 실행되면 “C:\Windows(공백)\System32″ 명의 공백 폴더 내부에 printui.exe(정상), printui.dll(악성) 파일을 생성하여 DLL Side-Loading 기법을 사용하여 printui.exe(정상) 파일을 실행한다.

또한, “C:\Windows(공백)\System32″ 명의 공백 폴더를 생성하는 행위는 악성코드에서 주로 시스템의 중요한 파일들이 위치한 “C:\Windows\System32” 폴더를 위장하여, 실행 파일의 권한 상승을 위해 사용하는 방식이다. 권한 상승이 필요할 때 운영체제에서는 아래와 같은 조건을 판단한다.

 

• 실행 파일에서 “<autoElevate>true</autoElevate>” 존재하는지 확인
• 전자서명이 유효한지 확인
• 신뢰할 수 있는 폴더(ex. “C:\Windows\System32”) 와 같은 시스템 폴더에서 실행되었는지 확인

 

해당 조건들을 만족하지 않으면 실행 파일의 권한 상승이 자동으로 되지 않지만 [그림 1]과 같이 “C:\Windows(공백)\System32″ 명의 공백 폴더 내부의 파일들은 신뢰할 수 있는 폴더 조건이 우회되어 권한 상승이 가능하다.

 

3. 윈도우 디펜더 우회

DLL Side-Loading 기법으로 실행된 악성코드는 powershell 명령어를 통해 “C:\Windows(공백)\System32″ 명의 공백 폴더, “C:\Windows\System32” 폴더를 윈도우 디펜더 검사 예외 경로에 등록하여, 이후에 해당 폴더들에서 생성될 악성코드가 탐지하지 못하도록한다.

AhnLab EDR 제품에서는 아래 이미지처럼 윈도우 디펜더 검사 예외 경로 설정에 등록하는 행위를 탐지한다.

[그림 2] 윈도우 디펜더 우회 행위 탐지

 

4. 지속성 유지

코인마이너의 지속성 유지를 위해 서비스 등록 및 작업스케줄러 등록을 실행한다. 서비스로 등록하는 파일은 코인마이너 악성코드이고 작업스케줄러에 등록하는 악성코드는 일종의 코인마이너 업데이터로 코인마이너의 새로운 버전을 다운로드 받는 역할을 수행한다.

이러한 악성 행위 역시 AhnLab EDR 제품에서 탐지하고 있다.

[그림 3] 서비스 등록 행위 탐지

[그림 4] 작업스케줄러 등록 행위 탐지

 

5. USB 전파

코인마이너를 실행한 후에는 사용자의 컴퓨터에 인식된 USB를 확인하여 악성코드를 생성한다. 감염된 USB에는 기존에 사용자가 보관한 파일들은 숨김 폴더에 숨겨 놓으며, rootdir 숨김 폴더에 x<랜덤 6자리 숫자>.vbs, x<랜덤 6자리 숫자>.bat, x<랜덤 6자리 숫자>.dat 파일을 생성 후 마지막으로 USB Drive.lnk를 생성한다.

AhnLab EDR 제품에서는 아래 이미지처럼 파일을 생성 및 숨김 속성 변경에 대한 행위를 보여준다.

[그림 5] USB 전파 행위 탐지

 

6. 결론

AhnLab EDR 제품을 통해 USB로 전파되는 코인마이너의 유포 행위와 악성코드의 권한 상승, 윈도우 디펜더 우회, 지속성 유지와 같은 악성 행위까지의 과정을 알 수 있다. 관리자는 이러한 방식을 통해 악성코드가 실행된 흐름을 파악할 수 있으며 공격에 노출된 이후에도 공격 대상이 된 시스템에서 공격자의 증적 자료로써 침해 사고 조사에 필요한 데이터를 확인할 수 있다.

 

EDR 탐지명

– Persistence/EDR.Event.M12408
– DefenseEvasion/EDR.WindowDefender.M11093
– Suspicious/DETECT.T1053.M2676

MD5

607ac6645be22077443b74cf38b92ce0

60f6acfb9efce8dbf5a6d69a418c0eed

819aa5e784063af3bf18b7a7fcdc1855

8972c43c579d02b463484e31506a64ff

a62826dabcdf904941b0793e9f7b2238