보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

내PC로 몰래 가상화폐 채굴을? 가상화폐 채굴 악성코드 주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-10-25

최근 사용자 몰래 PC에 가상화폐 채굴프로그램을 설치하는 악성코드가 발견되었다. 해당 악성코드는 PC의 시스템 자원을 가상화폐 채굴에 이용하기 때문에 PC가 느려지는 등의 결과를 초래할 수 있어 주의를 요한다.

 
가상화폐(Virtual currency 또는 암호화폐, Cryptocurrency)를  소유하는 방법은 타인이 소유한 가상화폐를 구매하거나 채굴(Mining)하는 방법이 있다. 채굴은 복잡한 암호를 풀어 가상화폐를 획득하는 과정으로, 별도의 채굴프로그램이 필요하다. 채굴프로그램은 무한 반복되는 단순 대입 작업을 진행하도록 설계된 것으로, 채굴 난이도에 따라 컴퓨터 자원 사용량이 급격히 증가한다. 이 때문에 최근 다수의 컴퓨터를 사용자 몰래 가상화폐 채굴에 이용하기 위한 악성코드 유포가 이어지고 있다.


이번에 유포된 가상화폐 채굴 악성코드는 [그림 1]과 같이 압축 프로그램인 WinRAR을 이용하여 다수의 파일 및 폴더를 하나의 실행 압축 파일로 제작됐다.

 


[그림 1] 가상화폐 채굴 악성코드의 실행 압축 파일

 

해당 악성코드는 자동 풀림 압축(SFX, Self-Extracting) 기능을 통해 압축 파일이 실행 시 자동으로 압축을 해제하여 컴퓨터 내에 폴더 및 파일을 생성한다. 생성되는 폴더 경로는 대체로 사용자의 의심을 피하기 위해 일반 소프트웨어에서 자주 사용하는 경로를 사용한다.

 


[그림 2] 실행 압축 파일 내부 정보

 

생성된 파일 중 배치 파일(batch file)인 1.bat과 2.bat이 실행되면 해당 파일 명령어에 의해 윈도우 운영 체제의 서비스 영역에 등록된 채굴프로그램이 폴더와 파일의 속성을 읽기 전용, 시스템, 숨김으로 설정한다.

 

서비스 등록을 위해 사용되는 프로그램 nssm.exe는 [그림 3]과 같이 정상 윈도우 파일과 동일한 이름의 svchost.exe로 위장하여 채굴프로그램 Systmss.exe을 윈도우 운영 체제의 서비스에 등록한다.

 


[그림 3] svchost.exe(nssm.exe)와 Systmss.exe

 

 Systemss라는 이름으로 등록된 서비스의 속성을 확인하면 [그림 4]와 같이 정상 프로그램 svchost.exe(nssm.exe)인 것처럼 보인다. 그러나 레지스트리 편집기를 통해 확인하면 [그림 5]과 같이 채굴프로그램인 Systmss.exe가 등록되어 있는 것을 알 수 수 있다.

 


[그림 4] 서비스 Systemss 정보 

 


[그림 5] 서비스 Systemss의 인자 값 정보

 

이렇게 사용자 몰래 윈도우 서비스에 등록된 채굴프로그램은 시스템이 시작될 때 마다 자동으로 실행된다. 자동 실행된 채굴 프로그램은 [그림 6]과 같이 시스템 자원을 채굴에 이용하므로 시스템이 느려지는 결과를 초래한다.

 

 

[그림 6] 채굴프로그램 실행 중 프로세스 정보

 

이와 같은 가상화폐 채굴프로그램은 랜섬웨어를 비롯한 일반적인 악성코드와 달리 금전을 요구하거나 정보를 탈취하는 것은 아니다. 그러나 사용자 몰래 시스템 자원을 사용하기 때문에 사용자로서는 컴퓨터 사용에 상당한 불편을 겪게 될 뿐만 아니라 악성코드 감염을 의심 및 조치하기가 어렵다. 따라서 사용자의 각별한 주의가 요구된다.


V3 제품군은 이 채굴프로그램 설치 악성코드를 아래와 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명>
- HackTool/Win32.BitCoinMiner
- Trojan/Win64.BitCoinMiner
- VBS/Bitcoinminer
- PS/Downloader

  • AhnLab 로고
  • ASEC대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.