보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

서버 노리는 마이킹즈(MyKings) 봇넷의 실체

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2020-03-02

2018년 중반부터 윈도우 기반 서버에서 채굴 악성코드(Coin Miner)가 지속적으로 발견되거나 백신 프로그램이 정상적으로 실행되지 않는 등의 증상을 호소하는 사례가 증가했다. 안랩의 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC) 분석가들과 디지털 포렌식팀(A-FIRST)의 조사 결과, 해당 서버에서 마스터 부트 레코드(MBR)를 변조하는 부트킷 악성코드가 발견되었다. 또 이 부트킷 악성코드가 감염 시스템에 채굴 악성코드를 설치해 재감염되는 것으로 확인됐다. 이어 상세 분석 과정에서 이들 악성코드는 지난 2015년 5월부터 국내에서 활동하고 있는 마이킹즈 봇넷(MyKings Botnet)으로 드러났다. 최근 국내에서 활동 중인 마이킹즈 봇넷의 주요 악성코드와 감염 증상, 공격 방식에 대해 상세히 알아본다.

 


 

마이킹즈 봇넷은 다크클라우드(DarkCloud), 히든(Hidden), 스모민루(Smominru) 등으로도 불리는 봇넷으로, 2014년 8월 관련 악성코드가 처음 발견되었다. 국내에서는 2015년 5월 처음 확인됐다. 이후 꾸준히, 그러나 조용하게 활동해온 이 봇넷은 2018년 중반 이후 활발한 움직임을 보였다. 안랩에서도 2016년 11월 국내 기업의 디지털 인증서로 서명된 악성코드를 분석하던 중 마이킹즈 봇넷과 연관된 정황을 확인한 바 있다.

 

이후 2018년 중반부터 국내 대학, 협회, 방송, 제조, 금속, 솔루션 서비스, 웹호스팅 등 다양한 산업 분야에서 채굴 악성코드(Coin Miner, 코인마이너) 재감염, 백신 프로그램 장애, 부트킷 악성코드 등 다른 듯 유사한 사례가 지속적으로 확인됐다. 별개로 보이는 이들 사례를 안랩이 분석한 결과, 모두 동일한 그룹의 소행으로 결론 내렸다. 바로 마이킹즈 봇넷이다. 

 

 

 

이와 관련해 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 최근 국내에서 확인된 마이킹즈 봇넷 공격 사례를 중심으로 침해 증상과 주요 악성코드, 인증서 위조 등 공격 방식에 관한 분석보고서를 발표했다. 마이킹즈 봇넷의 특징과 공격 기법에 대해 살펴보자.  

 

마이킹즈 봇넷 공격 전개 과정 

2020년 2월 현재까지 확인된 바에 따르면, 마이킹즈 봇넷은 이메일 공격을 비롯해 취약한 SQL 서버 공격, 이터널블루(EternalBlue) 공격 등의 방식을 사용하고 있다. 이 과정에서 정상 프로그램의 인증서를 위조 또는 도용해 악성코드를 제작, 유포했다. 이러한 방식으로 기업 및 기관 내부에 침입한 후 크게 3 단계에 걸쳐 공격을 진행한다.

 

 

 

마이킹즈 공격은 다운로더(Downloader)나 캡인포(Cabinfo) 파일이 악성코드를 추가로 다운로드하면서 시작된다. 공격 1단계에 사용된 악성코드는 크게 msinfo.exe와 cab.exe로 구분할 수 있다. msinfo.exe가 cab.exe를 다운로드하는데, 대부분 VMProtect로 패킹되어 있어 정확한 기능을 파악하기 쉽지 않다. 그러나 취약한 SQL 서버에 접속해 정보를 유출하는 기능을 가진 것으로 짐작된다. 최근에는 msinfo.exe와 cab.exe를 사용하지 않은 사례도 확인되었다.

 

 

 

 

[그림 2]에서 볼 수 있는 것처럼 cab.exe는 다운로드 리스트에 있는 파일을 다운로드한다. 이때 다운로드한 JPG 파일은 유명 팝 가수의 사진 등 정상적인 이미지로 보이지만, 실제 파일 뒷부분에는 실행 코드가 존재한다([그림 3] 참고). 이 실행 코드를 추출해 msinfo.exe를 생성한다. 

 

 

 

공격 2단계에서는 시스템 설정 변경과 부트킷 등이 추가로 설치된다. 이 그룹의 활동 초기에는 cab.exe 등의 파일이 시스템 변경 파일을 직접 다운로드했지만, 최근에는 시스템 설정을 변경하는 c3.bat 파일을 포함한 RAR SFX 파일 형태의 msief.exe 파일이 다운로드된다. 부트킷을 이용해 감염 시스템에 설치된 백신(Anti-virus) 등의 보안 프로그램 무력화를 시도한다.

 

부트킷은 2018년 8월부터 발견되었으며, 주로 lsmosee.exe, max.exe, update.exe 등의 파일명을 사용하고 있다. 다양한 패커로 패킹되어 있으며, 파일 길이 또한 655,328 ~ 15,038,553 바이트(보통 680 KB)로 다양하다.

 

공격의 마지막 단계에는 최종 목적인 채굴 악성코드(Coin Miner, 이하 코인마이너) 설치를 시도한다. 지난 2017년에는 취약한 임베디드 리눅스 시스템을 찾아 대표적인 IoT 악성코드로 잘 알려진 미라이(Mirai) 다운로더를 감염시킨 사례도 있다.

 

다수의 정상 프로그램의 인증서 위조•도용 

마이킹즈 봇넷 조직은 정상적인 디지털 인증서의 키 파일을 탈취하거나 인증서 내용을 복사한 다음, 위조․도용해 PUP, 다운로더, 키로거, 부트킷 등의 악성코드 서명에 사용했다. 또 사행성 게임과 관련된 파일 서명에도 도용했다. 안랩 분석 결과, 2020년 2월 현재까지 9개의 인증서가 위조 또는 도용된 것으로 확인됐다. 그러나 정상 인증서 내용을 복사해 위조한 경우, 인증서 정보와 파일 정보가 일치하지 않기 때문에 비정상적인 파일로 정보가 표시된다.

 


 

디지털 인증서를 도용 당한 9개 업체들([그림 4] 참고)은 당시 인증서를 해지하는 등 적절한 조치를 취했다. 그럼에도 불구하고 마이킹즈 봇넷 조직은 지금까지 이들 인증서를 악성코드 서명에 사용하고 있다. 일례로, 시안*테크(Xi’an ****Tech)의 디지털 인증서는 2016년에 도용 당한 뒤 해지됐음에도 불구, 7,300 개 이상의 악성파일 서명에 도용되었다. 최근에도 채굴 악성코드(Coin Miner)류에 주로 도용되고 있다.

 


 

마이킹즈 봇넷에 의한 침해, 어떻게 알 수 있나? 

마이킹즈 봇넷에 의한 침해가 발생하면 대개 [그림 6]과 같은 증상이 나타난다. 

 

 

 

우선, SQL 서버에 로그인 접속 시도가 발생한다. 공격자는 무작위 대입법을 이용해 SQL 서버에 접속을 시도하는데, 이 과정에서 잘못된 로그인 정보를 대입하기 때문에 다수의 로그인 시도가 발생한다. 

 

둘째, 코인마이너(채굴 악성코드)에 반복적으로 재감염 된다. 부트킷이 코인마이너를 다운로드하기 때문에 감염 시스템에 백신이 설치되어 있다면 지속적으로 코인마이너가 탐지되는 상황을 겪게 된다.

 

셋째, 백신 프로그램의 실시간 감시 기능이 중단되거나 엔진 업데이트가 안되는 등의 장애가 발생한다. 또 시스템에 유입된 부트킷이 특정한 백신 프로그램이 설치되어 있는지 확인하여 무력화를 시도한다. 부트킷은 시스템이 부팅될 때 실행되기 때문에 백신 프로그램보다 먼저 동작하여 백신 프로그램을 무력화한다.

 

넷째, MBR이 변조된다. 단, 악성코드가 실행 중이면 정상적인 부트 레코드를 보여주기 때문에 감염된 상태에서는 MBR 변조 여부를 확인하기 어렵다. 그러나 마이킹즈 봇넷 조직은 대부분 거의 유사한 이름의 파일을 사용하는 경향이 있다. 따라서 시스템에 Cab.exe, item.dat, msinfo.exe, msief.exe, c3.bat, n.vbs, update.exe 등의 파일이 존재할 경우 마이킹즈 봇넷 악성코드에 감염되었을 가능성이 높다.

 

다섯째, 중국 등 특정한 해외 서비스 페이지의 URL에 접속한다.

 

마지막으로 낯선 이름의 윈도우 시스템 파일이 발견된다. cacls.exe나 download.exe 등이 확인된 바 있다.

 

마이킹즈 봇넷, 예의 주시해야 하는 이유

 대부분의 공격 사례에서 최종적으로 코인마이너를 설치하는 점으로 봤을 때 마이킹즈 봇넷은 단순히 금전적인 목적으로 활동하는 그룹일 가능성이 높다. 그러나 정상적인 디지털 인증서를 유출, 도용해 악성코드 제작에 활 용해온 점을 고려하면 언제든 기업 및 기관의 내부 정보 유출을 시도할 가능성도 배제할 수 없다. 안랩을 비롯 한 국내외 주요 보안 업체가 2018년 이후 이 조직의 활동을 예의 주시하는 이유도 이 때문이다.

 

특히 마이킹즈 봇넷이 MS SQL 서버 등 윈도우 서버를 공격하기 때문에 기업 및 기관에서는 이 조직의 최신 공 격 정보를 파악해두는 것이 필요하다. 또한 내부 시스템에 코인마이너 재감염이나 백신 프로그램 장애 등의 증 상이 없는지 수시로 확인하는 것이 중요하다.

 

마이킹즈 봇넷의 주요 악성코드 11종과 인증서 위조 등 상세한 공격 방식은 안랩 시큐리티대응센터가 발표한 분 석보고서에서 확인할 수 있다.

 

▶'마이킹즈 봇넷 분석보고서' 전문보기

 

  • AhnLab 로고
  • 분석연구팀 차민석 수석연구원
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.