보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

파일리스 방식과 SMB 취약점 이용한 채굴 악성코드, 주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-09-18

가상화폐(Cryptocurrency, 암호화폐) 채굴 악성코드가 잇따라 유포되고 있는 가운데, 최근 더욱 교묘한 기술을 이용한 채굴 악성코드가 확인됐다. 이 채굴 악성코드는 2017년 전 세계를 강타했던 워너크라이(WannaCry) 랜섬웨어가 이용한 이터널블루(EternalBlue) SMB 취약점을 이용하고 있어 워너마인(WannaMine)으로 불리며, 내부 확산의 가능성이 높아 특히 기업의 각별한 주의가 요구된다. 

 


 

 

워너마인 악성코드는 가상화폐 채굴 악성코드(Coin Miner)로, 파일리스(Fileless) 방식으로 동작한다. 또한 SMB 취약점과 WMI(Windows Management Instrumentation), ADMIN$ 공유 폴더 등을 통해 확산되며, SMB를 통한 원격지 서비스 등록 및 구동하는 방식을 사용하는 것이 확인됐다. [그림 1]은 워너마인 악성코드의 내부 확산 과정을 요약한 것이다.

 

  

[그림 1] 워너마인 악성코드 내부 확산 과정 

 

[그림 1]과 같이 처음 감염된 시스템에서 시스템 업데이트 파일로 위장한 sysupdater0.bat 파일이 실행되면 해당 시스템의 운영체제를 확인한다. 이때 윈도우 Vista 이상이면 파워쉘 스크립트를 추가로 다운로드한다. 만일 최초 감염 시스템의 운영체제가 윈도우 XP일 경우, 파워쉘을 사용할 수 없기 때문에 VB 스크립트 파일(*.vbs)을 다운받아 cscript.exe 파일을 통해 실행한다.

 

이렇게 실행된 스크립트들은 내부에 인코딩(Encoding)된 채굴 기능과 함께 미미카즈(Mimikaz) 해킹툴, 이터널블루(EternalBlue) 쉘코드(MS17-010)를 실행해 악의적인 기능을 수행하고, 다른 시스템으로의 감염 확산을 시도한다. 윈도우 Vista 이상인 시스템의 경우, 다운로드된 파워쉘 스크립트가 ‘DownloadString’ 함수를 사용하여 파일리스(Fileless) 형태로 동작한다. 이때 특정 포트로 통신하는 프로세스가 있을 경우, 파워쉘 프로세스를 종료한다. 이 밖에도 채굴 중 시스템이 종료되는 것을 방지하기 위해 감염 시스템을 절전 모드로 변경한다. 

 

다양한 방식으로 내부 확산 시도 

워너마인 악성코드는 감염된 pc의 의 네트워크 어댑터 설정을 확인하여 현재 IP 주소와 서브넷 마스크를 기준으로 랜덤한 IP에 전파 기능을 수행한다. 이때 원격 PC에 연결된 포트에 따라 ▲WM를 이용해 원격 프로세스를 실행하거나 ▲SMB 프로토콜을 이용해 서비스를 생성하는 등 다양한 방식을 통해 내부 감염 확산을 시도한다.

 

워너마인 악성코드의 내부 확산 방식에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.

► ASEC 블로그 바로가기 

 

특히 워너마인 악성코드는 이터널블루 취약점을 통해 악성코드 내부 전파를 시도한다. 이터널블루 취약점 이용이 성공하면, 감염된 시스템의 운영체제에 따라 악성 파워쉘 스크립트가 파일리스 방식으로 다운로드 및 실행된다. 

 


[그림 2] 이터널블루 패킷(왼쪽)과 내부 쉘코드(오른쪽)

 

[그림 2]는 워너마인의 이터널블루 취약점 공격 시도 시 확인되는 패킷과 패킷 내부의 쉘코드이다. 이터널블루 SMB 취약점은 지난 2017년 전 세계를 충격에 빠뜨리 워너크라이 랜섬웨어 확산에 사용된 이후 공격자들이 지속적으로 사용하고 있다. 국내에서는 지난해 6월 POS 장비의 인터넷을 마비시킨 악성코드 공격에 이용된 바 있으며, 올해 2월에도 국내 POS 장비에 채굴 악성코드를 확산하는데 사용되었다.

 

이미 오래 전에 관련 보안 업데이트가 배포되었음에도 불구하고 여전히 이터널블루 SMB 취약점을 이용한 공격이 계속된다는 것은 해당 업데이트를 적용하지 않은 시스템이 많다는 의미로 이해할 수 있다. 기업의 경우, 사내 패치 관리에 더욱 각별한 주의가 필요한 지점이다. 

 

이터널블루 취약점 외에 WMI, ADMIN$ 공유 폴더, 원격지 서비스 등록 등은 윈도우 시스템의 정상적인 기능이다. 따라서 관련 네트워크 패킷만으로는 이것이 악의적인 행위인지 정상적인 것인 것 판별하기가 쉽지 않다. 따라서 기업 보안 관리자는 SMB, WMI 프로토콜이 악용되지 않도록 기본 포트를 변경하거나 해당 서비스들을 비활성화시키는 방안도 고려할 필요가 있다. 

 

한편, V3 제품군에서는 파일리스 방식의 워너마인 악성코드를 다음과 같은 진단명으로 탐지하고 있으며, [그림 3]과 같이 행위 진단을 통한 알림창을 제공하고 있다. 

 

<V3 제품군 진단명>

- BAT/Downloader 

- VBS/Downloader 

- Script/Powershell

 

  

[그림 3] V3 제품군의 행위 기반 탐지 알림창​ 

  • AhnLab 로고
  • ASEC 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.