사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의




1. 개요 


최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 


이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다.


복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다.


이번 보고서에는 무단으로 가상화폐 채굴을 수행하는 ‘KMSPico 10.2.2.exe’ 악성코드에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

KMSPico 10.2.2.exe

파일크기

2,878,711 byte

악성동작

파일 드롭(Win32.exe)









구분

내용

파일명

Win32.exe

파일크기

673,792 byte

악성동작

가상화폐 채굴기 삽입 및 실행










2-2. 유포 경로

특정 웹 사이트를 통해 채굴 프로그램을 실행시키는 ‘KMSPico 10.2.2.exe’ 를 유포한다. 아래 [그림1]은 해당 ‘KMSPico 10.2.2.exe’ 를 유포하는 웹 사이트 화면이다.


[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트




2-3. 실행 과정

‘KMSPico 10.2.2.exe’ 설치 시 사용자의 동의 없이 ‘win32.exe’ 를 실행시킨다. ‘win32.exe’ 가 실행되면 운영체제 환경에 따라 특정 프로세스에 코드를 삽입하여 모네로 코인을 채굴한다. 또한, 자동실행 레지스트리를 등록하고 채굴동작을 은폐하기 위해 프로세스 목록을 감시하여 작업관리자(taskmgr.exe) 실행 시 채굴 프로세스를 종료시킨다.






3. 악성 동작


3-1. 코드 삽입을 통한 모네로 코인 채굴

‘KMSPico 10.2.2.exe’ 실행 시 불법 윈도우 정품인증 동작은 수행하지 않고 ‘win32.exe’ 를 드롭하여 실행시킨다. 실행된 ‘win32.exe’ 는 운영체제의 32/64bit환경에 따라 채굴코드를 삽입할 대상 프로세스(wuapp.exe/svchost.exe/notepad.exe/explorer.exe)를 결정하고 채굴코드를 삽입하여 실행한다. 가상화폐 채굴 작업의 경우 복잡한 연산을 수행하기 때문에 CPU 자원에 대한 사용량이 많아 원활한 PC사용에 제한을 준다. 


아래 [그림2]는 채굴기 실행 옵션과 채굴 작업 시 CPU 점유율이 99%에 달하는 화면이다.


 [그림2] 가상화폐 채굴 작업 화면[그림2] 가상화폐 채굴 작업 화면




정상 프로세스에 삽입되는 채굴코드를 추출하여 실행했을 때 아래와 같이 가상화폐의 지갑 주소와 채굴기 옵션에 대한 내용도 확인된다.


[그림3] 추출한 채굴기의 실행 화면[그림3] 추출한 채굴기의 실행 화면



[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용




3-2. 채굴 은폐를 위한 작업관리자 프로세스 감시

‘win32.exe’ 는 채굴 프로그램이 삽입된 ‘wuapp.exe’의 동작을 숨기기 위해 아래와 [그림5]와 같이 작업관리자 프로세스인 ‘taskmgr.exe’ 를 감시하다가 작업관리자 실행 시 ‘wuapp.exe’ 종료시킨다.


[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드




3-3. 자동 실행을 위한 레지스트리 등록

‘win32.exe’ 는 시스템 시작 시 채굴 작업이 자동으로 실행될 수 있도록 레지스트리 키 ‘RunOnce’ 에 ‘jXuDlnugma’ 값을 생성하여 ‘win32.exe’ 의 경로를 데이터에 저장한다. 

 

[그림6] 자동 실행을 위한 레지스트리 등록[그림6] 자동 실행을 위한 레지스트리 등록








4. 결론


이번 악성코드와 같이 사용자 동의 없이 설치되는 가상화폐 채굴 프로그램은 실행 시, 자원을 임의로 사용하여 정상적인 PC이용을 할 수 없도록 만들고 사용자가 이를 알아차리기 쉽지 않도록 교묘하게 숨기고 있어 각별한 주의가 필요하다. 


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 윈도우 정품을 구입하여 사용하는 것을 권고한다.







Posted by nProtect & TACHYON

Crysis ransomware 분석




1. 개요 


사용자 PC에 있는 중요 파일을 암호화하고 인질로 삼는 랜섬웨어는 하루가 멀다 하고 계속해서 발견되고 있다. 공격자가 랜섬웨어로 하고자 하는 악행엔 여러가지가 있을 수 있겠지만, 대부분의 경우 비트코인을 요구하고 있다. 


은행에서 사용하는 개인 계좌 정보와 달리 비트코인과 같은 온라인 가상화폐는 비트코인 주소만 있으면 거래가 이루어지기 때문에 신분을 감추고 이용할 수 있다는 점이 사이버 범죄에 악용되고 있는 것으로 보여진다. 따라서 연일 가상화폐 가치가 올라갈수록 이러한 문제가 해결되지 않는다면 랜섬웨어 또한 끊임없이 제작되고 발견 될 것으로 보여진다.


이번 보고서에서 다루는 ‘Crysis Ransomware’ 는 수없이 많은 랜섬웨어 중 하나로 계속해서 변종이 발견되어 여러 확장자를 암호화하는 랜섬웨어이다.


2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

Crysis.exe (임의의 파일명)

파일크기

94,720 byte

진단명

Ransom/W32.Crysis.94720

악성동작

파일 암호화, 금전 요구










2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 파일을 첨부하여 유포되고 있는 것으로 확인 된다.



2-3. 실행 과정

해당 랜섬웨어가 실행되면, 다른 랜섬웨어와 동일하게 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고, 파일 암호화가 완료되면 ‘.id-208B1874.[chivas@aolonline.top].arena’ 확장자를 덧붙인다. 그 후 복호화를 안내하는 랜섬노트를 계속해서 화면에 띄운다.




3. 악성 동작


3-1. 자동 실행 등록

해당 랜섬웨어는 %system32% 경로에 자기 자신과 동일한 파일을 복사하고 자동 실행 레지스트리에 등록한다. 이를 통해 파일 암호화 도중 사용자가 PC를 강제로 종료하더라도 다시 사용자가 PC에 로그온하면 실행되어 암호화 동작을 수행한다.



[그림 1] 자동 실행 등록[그림 1] 자동 실행 등록



또한 시작 프로그램 폴더 경로에 아래와 같이 랜섬웨어 파일과 랜섬노트파일을 생성하여 재부팅 후에도 계속해서 실행 되도록 한다.



[그림 2] 시작 등록[그림 2] 시작 등록




3-2. 파일 암호화

해당 랜섬웨어는 암호화 대상이 되는 파일을 찾아 암호화 한 후 원본 파일명과 확장자에 다음과 같이 ‘.id-208B1874.[chivas@aolonline.top].arena’라는 확장자를 덧붙인다.


[그림 3] 파일 암호화[그림 3] 파일 암호화


구분

내용

암호화 대상 파일

확장자

윈도우 중요 시스템 파일을 제외한 모든 확장자


[표 1] 암호화 대상 파일 확장자



3-3. 볼륨 쉐도우(shadow) 복사본 삭제

해당 랜섬웨어에 감염 된 사용자가 PC를 암호화 되기 이전으로 되돌리는 것을 방지하기 위해 볼륨 섀도 복사본을 삭제한다. 



[그림 4] 파일 암호화[그림 4] 파일 암호화




3-4. 랜섬 노트

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 이메일로 식별키를 전송하라고 작성되어 있으며, 이메일에 대한 답변으로 비트코인을 요구할 것으로 추정된다. 해당 랜섬노트는 계속해서 사용자 바탕화면에 출력된다.

[그림 5] 암호화 완료 후 나타나는 랜섬노트[그림 5] 암호화 완료 후 나타나는 랜섬노트





4. 결론


이번 보고서에서 알아 본 ‘Crysis Ransomware’ 는 계속해서 여러 변종들이 발견되고 있다. 다른 랜섬웨어들에 비하여 많은 피해 사례가 발생하지 않았지만, 이메일에 첨부하여 이름을 바꾸거나 숨김 속성으로 바꾸어 실행이 될 경우 피해를 볼 수 있기 때문에 이슈가 되지 않은 랜섬웨어 라도 항상 주의를 기울여야 한다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다,


상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 



[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면




[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 7] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면







Posted by nProtect & TACHYON

Israbye Ransomware 분석 보고서 



1. 개요 


최근 특정 국가를 겨냥한 새로운 유형의 랜섬웨어가 발견 되었다. 일반적으로 랜섬웨어는 파일을 인질로 잡고 이를 복구하기 위한 방법으로 금전을 요구한다.


하지만, 이번에 발견 된 ‘Israbye’ 랜섬웨어는 다른 랜섬웨어들과 다르게 특정 국가를 비난하는 내용을 목적으로 제작된 것으로 보이며 금전을 요구하지 않고 데이터파일을 사용할 수 없게 만든다.


또한 윈도우 작업표시줄을 사라지게 하거나 마우스 커서에 특정 문구가 따라다니게 만들어 정상적인 PC이용을 할 수 없도록 만들고 있어 주의가 필요하다.


이번 보고서에서는 ‘Israbye’ 랜섬웨어는 어떠한 동작을 하는지 알아보고자 한다.



2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

israbye.exe

파일크기

6,978,560 byte

악성동작

데이터 파일 파괴










2-2. 유포 경로

최초 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일에 첨부하여 유포되고 있는 것으로 추정 된다. 



2-3. 실행 과정

‘Israbye’ 랜섬웨어가 실행 되면 ‘임시폴더’ 경로와 ‘시작프로그램’ 경로에 추가적으로 악성동작에 필요한 다수의 파일을 생성하고 실행한다. 다른 랜섬웨어들과는 다르게 파일을 암호화하기 보다는 특정 문자열을 원본 데이터에 덮어 씌워 원본 파일이 유실되도록 만들고 랜섬노트를 띄운다. 해당 랜섬노트는 특정 국가에 대해 비난하는 글이 기재되어 있고 바탕화면이 변경 된 것을 확인 할 수 있다. 

[그림 1] 변경 된 바탕화면 이미지[그림 1] 변경 된 바탕화면 이미지



3. 악성 동작


3-1. 시작 프로그램 등록

해당 숙주 파일을 실행하면 자동 실행 등록을 위해 시작 프로그램에 파일을 생성하는 것을 확인할 수 있다. 이는 재부팅 후 윈도우 로그인 할 때마다 바탕화면 변경과 작업 표시줄 삭제, 마우스 커서 문자열 추가 그리고 팝업 창을 발생시키도록 한다.


[그림 2] 시작 프로그램 경로에 파일 생성[그림 2] 시작 프로그램 경로에 파일 생성



3-2. 원본 데이터 사용 불가

해당 ‘Israbye’ 랜섬웨어는 데이터 파일을 찾아 특정 문자열로 덮어 씌운다. 그리고 ‘.israbye’ 확장자를 원본 확장자에 덧붙인다. 원본 데이터 파일에 덮어씌워지는 문자열의 내용으로 보아 제작자의 의도가 어떠한 것인지 추측해 볼 수 있다.

 [그림 3] 특정 문자열로 교체[그림 3] 특정 문자열로 교체




덮어씌워 진 문자열 내에는 다음과 같이 사용자 계정이 포함 되었다는 것을 확인 할 수 있다.


[그림 4] 원본 데이터에 문자열 삽입 시 UserName 포함[그림 4] 원본 데이터에 문자열 삽입 시 UserName 포함




3-3. 랜섬 노트 및 기타 동작

해당 랜섬웨어는 감염이 성공적으로 이루어질 경우, 원본 데이터를 사용하지 못하게 만든 후 팝업 창을 띄워 사용자에게 보여준다. 다른 랜섬웨어들이 대게 비트코인 지불방법에 대해서 안내를 하지만 해당 랜섬웨어는 제작자가 전달하고 싶은 메시지만 작성되어 있다.

[그림5] 랜섬 노트[그림5] 랜섬 노트



그리고 원본 데이터를 사용하지 못하게 하는 것 이외에도 작업표시줄을 사라지게 만들고 마우스 커서에 특정 문구가 따라다니도록 만들어 PC를 사용함에 있어 불편하게 만든다.


[그림6] 변경 된 윈도우 바탕화면[그림6] 변경 된 윈도우 바탕화면



또한, 해당 랜섬웨어는 사용자의 PC에서 자신이 강제 종료 당하지 않기 위해 ‘ProcessHacker’ 나 ‘procexp’ 등을 종료한다.


  [그림7] 종료 프로세스 목록[그림7] 종료 프로세스 목록




4. 결론


이번 보고서에서 알아 본 ‘Israbye’ 랜섬웨어는 일반적인 랜섬웨어들과는 다르게 특정 국가를 겨냥하여 만든 것으로 추정되고 있다. 일반적인 랜섬웨어와 목적이 다른 만큼 비용을 지불하는 방법으로 파일을 복호화 할 수 없다. 또한, 감염 시 원본 데이터를 사용할 수 없게 만들고 정상적인 PC이용을 어렵게 만들기 때문에 주의 할 필요가 있다. 


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업해 보관하여야 한다.












Posted by nProtect & TACHYON