보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 채굴 or 랜섬웨어 '악성코드가 PC 상태 따져 다른 기능 수행' [전자신문 Etnews 7월10일자_전자신문 20180711일자 본지 11면]
아이디 | admin
날  짜 | 2018-07-11
조  회 | 523

채굴 or 랜섬웨어 '악성코드가 PC 상태 따져 다른 기능 수행'


'암호화폐를 채굴할까, 랜섬웨어를 감염시킬까.' 

피해자 PC 상태를 파악해 암호화폐를 채굴할지, 랜섬웨어를 감염시킬지 결정하는 악성코드가 발견됐다. 

카스퍼스키랩은 암호화폐 채굴기와 랜섬웨어 중 수익성을 따져 시스템을 감염시키는 흥미로운 악성코드를 발견했다. 랜섬웨어와 암호화폐 채굴 공격은 올해 가장 많이 발생하는 위협이다. 불특정 다수를 표적으로 돈을 버는 목적이 강하다. 모두 암호화폐와 관련된다.

GettyImages
<GettyImages>

랜섬웨어는 피해자가 귀중한 파일을 갖고 있지 않으면 돈을 받아낼 수 없다. 랜섬웨어에 감염된 개인은 암호화폐를 지불하지 않고 PC를 포맷하는 사례가 많다. 수익성이 떨어진 공격자는 피해자 PC를 활용해 암호화폐를 채굴하는 방향으로 선회했다. 이제 공격자는 악성코드를 보내 어느 쪽이 수익성이 높은지를 따진 후 채굴이나 랜섬 기능을 결정한다.

카스퍼스키랩이 발견한 'Rakhni' 랜섬웨어 패밀리 변종은 델파이 프로그래밍 언어로 제작됐다. 공격자는 마이크로소프트 워드 파일을 첨부한 스피어피싱 이메일로 악성코드를 감염시킨다. 피해자가 문서 파일을 열면 저장하고 편집을 활성화하라고 안내한다. 이 문서는 PDF 아이콘을 포함한다. 이를 클릭하면 피해자 PC에서 악성코드를 실행하고 가짜 에러 메시지 창을 표시한다. 피해자 문서를 여는 데 필요한 시스템 파일이 누락됐다고 생각하게 만든다.

트로이잔이 실행되기 전에 보여주는 UAC 윈도 (자료:카스퍼스키랩)
<트로이잔이 실행되기 전에 보여주는 UAC 윈도 (자료:카스퍼스키랩)>

악성코드는 안티 가상머신(VM)과 안티 샌드박스 검사를 수행해 발각되지 않고 시스템을 감염시킬 수 있을지 확인한다. 조건을 만족하면 최종 기능을 랜섬웨어로 할지 채굴기로 할지 결정하는 작업을 진행한다. 

피해 PC AppData 섹션에 '비트코인(Bitcoin)' 폴더가 있으면 랜섬웨어를 설치한다. 비트코인 폴더를 암호화했을 경우 몸값을 지불할 가능성이 높다. 공격자는 RSA-1024 암호화 알고리즘을 이용해 파일을 암호화한다. 

비트코인 폴더가 없고 기기에 두 개 이상 논리 프로세서가 있으면 암호화폐 채굴기를 감염시킨다. PC가 채굴 악성코드에 감염되면 마이너게이트라는 유틸리티를 이용해 '모네로'와 '모네로 오리지널' '대시' 암호화폐를 채굴한다. 

비트코인 폴더도 없고 논리 프로세서도 하나인 PC에는 웜으로 작동한다. 해당 악성코드는 공유 리소스를 활용해 내부 네트워크에 있는 모든 PC에 자신을 복제한다. 악성코드는 실행중인 프로세스 목록과 스크린 샷 첨부 파일을 빼돌리는 스파이웨어 기능도 있다. 공격자는 악성코드를 종료하기 전에 임시 파일을 삭제하는 기능도 넣었다.

해당 악성코드는 어떤 안티바이러스가 실행되는지 검사한다. 백신 프로세스가 검색되지 않으면 윈도 시스템 내부에 있는 '윈도 디펜더'를 사용하지 못하게 설정한다. 피해자는 주로 러시아와 카자흐스탄, 우크라이나, 독일, 인도 등이다. 

이런 공격에 당하지 않으려면 모르는 사용자에게 온 이메일이나 수상한 파일은 클릭하지 않는다. 백신과 상용 소프트웨어를 최신 상태로 유지한다. 

김인순 보안 전문기자 insoon@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 687
428 미리보는 2023년···ICT가 획기적으로 바꾸는 삶 [전자신문 Et.. 관리자 2018-12-14 17
427 정부, 양자컴퓨터 개발한다 [전자신문 Etnews 12월 13일자_전자.. 관리자 2018-12-14 15
426 트렌드마이크로 “클라우드 보안 취약점 증가 전망...데브섹옵스.. 관리자 2018-12-14 15
425 아마존 촉발 AI 데이터 편향성에…IBM, 오픈스케일 해법 내놔 [.. 관리자 2018-12-14 13
424 스마트공장 2022년까지 2만개 보급 문제없나? [전자신문 Etnews .. 관리자 2018-12-13 14
423 국내 스마트공장 공급업체 현황 [전자신문 Etnews 12월 12일자_.. 관리자 2018-12-13 12
422 스마트공장이란?[전자신문 Etnews 12월 12일자_전자신문 2018121.. 관리자 2018-12-13 10
421 AI 사이버 공격·방어 응용...KAIST, '바이너리 분석'.. 관리자 2018-12-13 13
420 TTA 'ICT 표준확산 지원 사업' ···기업 경쟁력 높.. 관리자 2018-12-12 11
419 [통신재난, 제대로막자]<3·끝>'통신인프라관리센터&.. 관리자 2018-12-12 13
418 웹하드 통한 '불법' 저작물 유통은 여전 [전자신문 Et.. 관리자 2018-12-11 19
417 김창용 NIPA 원장 "GSIP 사업 강화, 클라우드 융합 이끌겠다" [.. 관리자 2018-12-11 18
416 랜섬웨어 복구는 돈만 주면 OK?..."범죄수익부터 막아야" [전자.. 관리자 2018-12-11 21
415 "클라우드 전환 고민, HCI로 해결하세요" [전자신문 Etnews 12월.. 관리자 2018-12-11 21
414 AI·블록체인 교육·창업 학교, 새해 2월 개교 [전자신문 Etnews.. 관리자 2018-12-10 41
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265