이더리움 클래식 코인을 채굴하는 마이너 악성코드 주의!
안랩은 국내외를 대상으로 유포되고 있는 코인 마이너 악성코드를 모니터링하고 있으며, 과거 다수 블로그 게시물을 통해 이와 관련된 다양한 유형의 악성코드 공격 사례를 소개한 바 있다. 이번 글에서는 최근 확인된 이더리움 클래식 코인을 마이닝하는 악성코드를 다룬다.
0. 개요
코인 마이너 악성코드는 사용자가 인지하지 못한 사이 설치되어 시스템 자원을 이용해 가상화폐를 채굴하는 악성코드로, 감염 시스템의 성능 저하를 유발한다. 이러한 행위 자체가 불법이기 때문에 코인 마이너를 유포하는 공격자들은 추적을 방해하기 위해 주로 모네로 등 익명성을 보장하는 코인을 마이닝한다. 이에 따라 실제 공격에서 확인되는 코인 마이너 악성코드는 모네로 코인 마이너 도구인 ‘XMRig’가 다수를 차지한다.
물론 모네로만큼은 아니더라도 다양한 코인들을 채굴하는 마이너가 공격에 사용될 수 있다. 대표적으로 이더리움 코인이 있는데, 이더리움은 비트코인에 이어 두 번째로 시가총액이 큰 가상화폐이다. 대표적인 가상화폐이다 보니 다양한 채굴 도구들이 존재하는데, lolMiner 외에 Gminer, NbMiner, Trex, PhoenixMiner 등이 이더리움 코인 마이닝을 지원한다.
참고로 2022년 9월 이더리움은 합의 메커니즘을 작업 증명 (PoW : Proof of Work) 방식에서 지분 증명(PoS : Proof of Stake) 방식으로 전환하는 업그레이드를 진행했다. 즉, 과거에는 채굴 도구를 이용해 CPU 및 GPU와 같은 시스템의 자원을 소모하면서 복잡한 연산을 푸는 작업 증명 방식을 통해 코인을 보상으로 받았다면, 이제는 지분 증명 방식으로 전환됨에 따라 마이닝 과정을 필요로 하지 않는다.
이더리움은 과거 The DAO 해킹 사건 이후 2016년 7월 하드포크 과정을 통해 신규 버전인 현재 이더리움과 기존 버전인 이더리움 클래식으로 나뉘었다. 지분 증명 방식으로 전환된 것은 이더리움이고, 이더리움 클래식은 아직도 작업 증명 방식을 사용하고 있다.
모네로 코인에 비해 상대적으로 적은 수량이지만 이더리움 코인과 이더리움 클래식 코인을 채굴하는 마이너 악성코드는 과거부터 꾸준히 유포되었다. 비록 이더리움 코인 채굴이 불가능해져 해당 코인을 채굴하는 마이너는 사라졌지만, 이더리움 클래식 코인은 아직 채굴이 가능하기 때문에 이를 채굴하는 마이너 악성코드는 최근까지도 유포되고 있다. 참고로 위에서 다룬 다양한 채굴 도구들은 이더리움 외에 이더리움 클래식을 함께 지원하기 때문에 현재까지도 공격자들이 채굴에 사용하고 있다.
1. 이더리움 코인 마이너 공격 사례
1.1. 디스코드를 이용한 유포 사례
2021년 안랩 ASEC 블로그를 통해 이더리움 코인을 채굴하는 공격 사례를 다루었다. 공격자는 로블록스 게임 핵으로 위장하여 국내 사용자들을 대상으로 디스코드를 통해 악성코드를 유포하였다. 또한 다양한 악성코드와 함께 사용자 시스템에 lolMiner를 설치해 이더리움 코인을 채굴하였다.
[그림 1] 코인 마이너 악성코드 실행 흐름도
[그림 2] lolMiner를 이용해 이더리움 코인을 마이닝하는 악성코드
• 공격자의 이더리움 지갑 주소 : 0x5421D5E7028a5B7DF436FEE75C59d9977ddbfd0D
1.2. dnSpy 툴로 위장한 공격 사례
이외에도 2022년 1월에는 오픈소스 닷넷 바이너리 분석 도구인 ‘dnSpy’로 위장한 악성코드가 유포되었는데, 이 중 이더리움을 마이닝하는 코인 마이너가 포함되었다. 블리핑컴퓨터(Bleeping Computer)에 따르면 공격자는 깃허브뿐만 아니라 공식 홈페이지로 위장한 사이트를 생성하여 사용자들이 악성코드가 포함된 dnSpy를 설치하도록 유도하였다.
실제 악성코드는 압축 파일 모듈 중 dnspy.dll 파일 내부에 존재한다. 사용자가 dnSpy를 실행하면 dnSpy.dll이 로드되어, 내부에 존재하는 ‘dnSpyPlus.exe’라는 난독화된 닷넷 다운로더를 메모리 상에 로드하여 실행하는 구조이다. dnSpyPlus는 다음과 같이 다수의 명령을 실행하여 작업 스케줄러에 다양한 명령들을 등록해 주기적으로 동작하게 한다.
[그림 3] 다수의 악성코드를 설치하는 dnSpy 악성코드
등록되는 명령들은 Defender Control (윈도우 디펜더 비활성화 도구), Quasar RAT, ClipBanker, 이더리움 마이너를 포함한 다양한 악성코드들을 설치하는 명령들이다. 해당 공격 방식은 작업 스케줄러에 VBS 명령을 등록하여 mshta로 실행하고, 악성코드 설치에 curl을 이용하는 것이 특징이다.
설치되는 여러 악성코드 중 ‘m.exe’는 코인 마이너 악성코드로, 동일 경로에 ‘NbMiner’를 생성하고 설정 정보를 포함한 인자와 함께 이를 실행하여 감염된 시스템에서 이더리움 코인을 채굴한다.
[그림 4] 이더리움 코인을 채굴하는 NbMiner 악성코드
> nbminer.exe -a ethash -o stratum+tcp://asia2.ethermine.org:4444 -u
0x4dd10a91e43bc7761e56da692471cd38c4aaa426.[생략]
• 공격자의 이더리움 지갑 주소 : 0x4dd10a91e43bc7761e56da692471cd38c4aaa426
2. 이더리움 클래식 코인 마이너 공격 사례
2.1. 이더리움 클래식으로의 변화
안랩은 최근 코인 마이너 악성코드를 모니터링하던 중 이더리움 클래식 코인을 마이닝하는 악성코드가 유포되고 있는 것을 확인하였다. 최초 유포 방식은 확인되지 않지만 다음과 같이 Curl을 이용해 다운로드되어 설치되는 것과 연관된 파일 중 Defender Control, ClipBanker 등 dnSpy로 위장해 유포되었던 사례와 유사한 형태라는 점이 확인되었다.
[그림 5] Curl을 이용해 설치되는 이더리움 클래식 마이너
이외에도 연관 정보를 확인하던 중 폴란드 IT 포럼인 elektroda.pl에서 해당 악성코드의 실제 감염 사례를 확인할 수 있었다. 작업 스케줄러에 등록된 명령들을 보면 자사 ASD(AhnLab Smart Defense) 인프라 로그에서 확인된 파일 경로명과 다운로드 주소와 동일하며, 등록된 다양한 명령들이 실제 위 dnSpy 위장 악성코드 사례와 거의 유사한 것을 알 수 있다.
[그림 6] 포럼에 게시된 감염 시스템 정보
구체적으로 살펴보면, VBS 명령을 실행하는 mshta를 작업 스케줄러에 등록하여 동작하는 방식과 윈도우 디펜더를 비활성화시키는 다수의 명령을 등록하는 방식이 있다. 그리고 공통적으로 Curl을 이용해 악성코드를 다운로드하며, 설치되는 악성코드 유형이 거의 동일하다. 차이점이 있다면 기존에는 이더리움 코인을 채굴하는 마이너를 사용하였으나, 최근 확인되는 형태는 이더리움 클래식 코인을 채굴한다는 점이다.
각 주소마다 다운로드되는 파일이 다르지만, 확인된 주소에서 설치되는 유형은 이더리움 클래식 코인 마이너, ClipBanker 유형과 윈도우 디펜더 비활성화 도구인 Defender Control이다. 이외에도 RAT 및 인포스틸러 유형의 악성코드들도 설치된다. 다음은 각각의 악성코드에 대해 간략하게 정리한 내용이다.
A. 이더리움 클래식 코인 마이너
설치되는 코인 마이너 악성코드들은 “%APPDATA%\DnsCache\dnsCleaner.exe” 경로에 생성된다. dnsCleaner.exe는 드로퍼(dropper) 악성코드로서 동일한 경로에 dnscache.exe라는 이름으로 코인 마이너를 생성한 후 인자를 주고 실행시킨다. 생성되는 코인 마이너는 lolMiner를 설치하는 유형과 PhoenixMiner를 설치하는 유형이 있다.
다음은 각각의 사례별로 생성되는 코인 마이너 종류 및 인자 정보, 즉 공격자의 지갑 주소이다.
lolMiner
[그림 7] lolMiner 실행 인자
PhoenixMiner #1
“%APPDATA%\DnsCache\dnscache.exe” -log 0 -pool ssl://asia1-etc.ethermine.org:5555 -log 0 -pool2 ssl://us1-etc.ethermine.org:5555 -wal 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6. [생략]
PhoenixMiner #2
“%APPDATA%\DnsCache\dnscache.exe” -log 0 -pool ssl://asia1-etc.ethermine.org:5555 -log 0 -pool2 ssl://eu1-etc.ethermine.org:5555 -wal 0x4dd10a91e43bc7761e56da692471cd38c4aaa426.[생략]
• 공격자의 이더리움 클래식 지갑 주소 1 : 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6
• 공격자의 이더리움 클래식 지갑 주소 2 : 0x4dd10a91e43bc7761e56da692471cd38c4aaa426
B. CLIPBANKER
ClipBanker는 클립보드의 데이터를 비교하여 만약 해당 데이터가 가상화폐 지갑 주소인 경우 이를 공격자의 지갑 주소로 변경하는 유형의 악성코드이다. ClipBanker는 감염 시스템에서 동작하면서 현재 사용자가 복사한 데이터, 즉 클립보드가 문자열인 경우 다음과 같은 정규 표현식에 매칭되는지를 검사한다.
[그림 8] 클립보드 문자열 비교에 사용되는 정규 표현식
각각의 정규 표현식은 비트코인, 이더리움, 라이트코인 등 다양한 코인 지갑 주소를 검증하는 데 사용된다. 만약 정규 표현식과 매칭될 경우에는 이를 공격자의 지갑 주소로 변경한다.
다음은 각각의 코인별 변경될 공격자의 지갑 주소 목록이다. 참고로 NEO 코인 지갑 주소와 이더리움 지갑 주소가 동일한 것이 특징이다.
– Bitcoin P2PKH (btc1) : 16ks5o3U2Vdo9ZVM22whdhaEB7PqitbFyR
– Bitcoin P2SH (btc3) : 3JzzbKbSpKcgxa95xym1JBJRRgv1Ps5azu
– Bitcoin Bech32 (btcbc2) : bc1qnswqxhwlq32vcfy8j8s227amt74j7vhxfnhwx6
– Ethereum (eth) : 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6
– TRON (trx) : TDvZcjZ6tDVL3Hsc8dPK99bSr3QL2MmhAb
– Stellar (xlm) : GBMNM7KM7CKNK4BNOPWCXRDZ4HI572RW4V7TEJSCHPUFTS5I4BFIW7IY
– Ripple (xrp) : rw4bq6adT8gPQfNLxrv7Cq83CxQPANw4BR
– Litecoin (ltc) : LWwWkjczWKohkxVvqj5W22G3j2PSRmnUT6
– NEO Coin (nec) : 0x66B43Cc9B4f86E2B057a733816297a24BFa547D6
– Bitcoin Cash (bch) : qrjrvnw4y7mztw9pm2p3j2yennt9g27n3u9pksahg7
C. QUASAR RAT
이전 dnSpy 유포 사례와 마찬가지로 Quasar RAT은 최근까지도 사용되고 있다. 공격자는 “OldBot”이라는 이름, 즉 태그를 붙인 Quasar RAT을 공격에 사용하였다.
[그림 9] OldBot 태그를 갖는 Quasar RAT
Quasar RAT의 C&C 주소는 위 루틴에서 확인되는 외부 주소에서 구해진다. 실제 해당 웹사이트에 접속해 보면 Quasar RAT의 C&C 서버 주소를 확인할 수 있다.
[그림 10] Quasar RAT C&C 주소가 업로드된 웹페이지
D. VIDAR INFOSTEALER
공격자는 이외에도 Vidar를 공격에 사용하였다. Vidar는 계정 정보 외에도 웹 히스토리, 쿠키, 가상화폐 지갑 주소 등의 다양한 사용자 정보를 탈취하는 인포스틸러 악성코드로서 정보 탈취 외에 추가 악성코드를 설치하는 다운로더 기능도 지원한다.
최근 유포되고 있는 Vidar는 Steam, Telegram, Mastodon과 같은 다양한 플랫폼을 활용해 C&C 주소를 구한다.[4] 다음은 공격에 사용된 Vidar가 접속하는 Steam 및 Mastodon 프로필 웹 페이지이며 아직도 C&C 주소가 기재되어 있는 것을 확인할 수 있다.
[그림 11] Vidar C&C 주소
3. 결론
과거 dnSpy로 위장한 악성코드를 유포하여 이더리움 코인을 채굴했던 공격자는 최근 이더리움 채굴이 불가능해지면서 이더리움 클래식 코인을 채굴하는 것으로 전략을 변경한 것으로 추정된다. 현재 유포 방식은 확인되지 않지만 공격자는 과거 공식 홈페이지로 위장한 웹사이트를 유포 경로로 사용한 이력이 있다.
사용자들은 알려지지 않은 경로에서 다운로드한 실행 파일을 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 유의해야 한다.
출처 : AhnLab