본문 바로가기

벌새::Analysis

FTP 서버 해킹을 통한 비트코인(BitCoin) 가상 화폐 채굴 프로그램 유포 주의 (2016.4.11)

다수의 FTP 서버 해킹을 통해 비트코인(BitCoin) 채굴 클라이언트를 설치하는 악성 프로그램 유포 사례가 확인되어 살펴보도록 하겠습니다.(※ 정보를 제공해주신 바이러스 제로 시즌 2 보안 카페 철이님에게 감사드립니다. )

국내 특정 호텔 관련 사이트에 접속할 경우 자동으로 Photo.scr 화면 보호기 파일을 다운로드하는 시도를 확인할 수 있습니다.

연결 정보를 확인해보면 사이트 접속 과정에서 악성 iFrame을 로딩하여 동일 서버에서 Photo.scr 파일이 자동 다운로드될 수 있습니다.

다운로드된 Photo.scr 화면 보호기 파일(SHA-1 : aeccba64f4dd19033ac2226b4445faac05c88b76 - 알약(ALYac) : Misc.Riskware.BitCoinMiner, AhnLab V3 : Trojan/Win32.CoinMiner.C1363390)은 폴더 아이콘 모양을 하고 있으며, 2016년 2월 7일경부터 유포가 이루어졌던 것으로 보입니다.

 

생성 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Local\Temp\NsCpuCNMiner32.exe
 - SHA-1 : fd358cfe41c7aa3aa9e4cf62f832d8ae6baa8107
 - McAfee : NightMiner-FXM

 

C:\Users\(로그인 계정명)\AppData\Local\Temp\pools.txt

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Run = C:\Users\(로그인 계정명)A\Downloads\Photo.scr

 

만약 다운로드 시도하는 Photo.scr 화면 보호기 파일을 사용자가 다운로드하여 실행할 경우 임시 폴더(%Temp%)에 NsCpuCNMiner32.exe 파일(32/64비트)을 생성 및 실행하며, 가상 환경인 경우에는 정상적으로 동작하지 않도록 분석을 방해합니다.

정상적으로 동작할 경우 pools.txt 파일에 추가된 URL 값을 참조하여 NightMiner (Python 기반 가상 화폐 채굴 클라이언트)을 동작하여 비트코인(BitCoin) 가상 화폐 채굴 행위를 수행할 수 있으며, 이로 인하여 CPU 상승과 같은 자원 소모가 발생할 수 있습니다.

 

그런데 해당 악성 파일 실행 시 다음과 같은 자가 복제 행위 및 유포를 위한 FTP 서버에 파일 업로드 행위를 수행할 수 있습니다.

"C:\Windows\System32\cmd.exe" /c for %i in (A B C D E F G H J K L M N O P R S T Q U Y I X V X W Z) do xcopy /y "C:\Users\(로그인 계정명)\Desktop\Photo.scr" %i:\

CMD 모드로 XCOPY /Y 명령어(기존 대상 파일을 덮어쓸지 여부를 묻지 않습니다.)를 통해 다운로드된 Photo.scr 화면 보호기 파일을 A~Z 드라이브까지 자동 복사 행위를 주기적으로 수행합니다.

이를 통해 다른 드라이브 루트 영역에 생성된 폴더 아이콘을 가진 Photo.scr 화면 보호기 파일을 사용자가 폴더로 착각하여 실행 시 동일한 행위를 지속하도록 전파하는 것으로 보입니다.

또한 다양한 FTP 서버를 대상으로 아이디(ID), 비밀번호를 대입하여 로그인에 성공할 경우 Photo.scr 화면 보호기 파일을 FTP 서버의 각 폴더에 업로드를 시도하는 행위를 통해 지속적으로 자신의 유포 행위를 확장할 수 있습니다.(※ 테스트 과정에서 성공적으로 접속된 FTP 서버의 경우 익명 사용자는 파일을 쓰기할 수 없도록 설정되어 실패하였습니다.)

 

이번에 확인된 비트코인(BitCoin) 가상 화폐 채굴 프로그램 유포 행위는 취약점(Exploit)을 이용한 방식이 아니므로 사용자의 추가적인 실행 행위가 이루어져야 하지만, 웹 사이트 접속 시 자동으로 다운로드되는 파일을 호기심에 실행하는 일이 없도록 주의하시기 바랍니다.

 

  • 이런, 못된 악성코드가 있군요. 웹사이트에서 다운로드하겠다고 하면 매우 조심해야겠네요. 좋은 정보 감사합니다.

  • 철이 2016.04.12 17:32 댓글주소 수정/삭제 댓글쓰기

    히잌..

    말씀대로 자동 설치가 아닌게 다행이네요 ㅋ

  • 삭제하고싶어요 2017.01.11 13:33 댓글주소 수정/삭제 댓글쓰기

    알약에서 실시간 감시로 Misc.Riskware.BitCoinMiner 가 계속 잡혀요.
    치료를 해도 부팅할때마다 실행되어 계속 잡히는데 이거 아예 삭제는 불가한가요?

    • 아마도 시작 프로그램 영역에 악성 파일이 부팅 시 자동 실행되도록 설정되어 있기 때문이 아닌가 싶습니다.

      또한 해당 악성 파일은 각 드라이브마다 생성되므로 파일 1개만 삭제해서는 모두 제거되지 않으므로 각 드라이브에서 파일을 모두 찾아서 제거해야 할 듯 합니다.

      http://hummingbird.tistory.com/notice/4859

      내용을 참고하여 run 파일을 만들어 메일로 보내주시면 추가적으로 확인해 드리도록 하겠습니다.

  • 안소니 2017.01.11 16:25 댓글주소 수정/삭제 댓글쓰기

    제 NAS가 알약정밀검사를 하면 2000개 정도 Misc.Riskware.BitCoinMiner 악성코드가 생성 됩니다.
    트로이목마, Gen:Variant.Grator 등 악성코드도. 검사후 알약치료가 작동이 안됩니다. ㅠㅠ
    모두 없애는 방법 없을까요?

    http://hummingbird.tistory.com/notice/4859 는 안열립니다. 검토 부탁 드립니다.


  • 답글 부탁합니다ㅠㅠㅠ 2017.03.20 23:58 댓글주소 수정/삭제 댓글쓰기

    안녕하세요! 방금 v3로 검사를 했는데요.... Unwanted/Win32.BitCoinMiner.R195035라는 악성코드가 두개 말견되었습니다... 백신프로그램에서 치료하기만 누르면 완전히 치료가 되는 걸까요? 아니면 또다시 생성이 된다거나 하는 일이 있을까요?ㅠㅠ 제가 컴터에 대해 잘 알지못해서 이 글을 읽긴 일었는데.. 해결책을 모르겠습니다ㅠㅜㅜ

    • V3 백신으로 악성코드 탐지가 발생하여 치료를 하신 경우에는 악성 파일이 삭제됩니다.

      단지 재생성되는지는 사용자가 PC 관리를 제대로 하느냐의 여부에 따라 달라질 수도 있을 듯합니다.

    • 감사합니다~ 2017.03.21 11:59 댓글주소 수정/삭제

      감사합니다^^ 제대로 관리하겠습니다~

  • 문의드립니다. 2017.08.22 21:35 댓글주소 수정/삭제 댓글쓰기


    제가 trojan/win32.coinminer 라는 악성코드가 발견됐다구 계속 뜨는데 .. 안랩 실시간 검사로 뜰때마다 계속 삭제를 해도
    바로바로 다시 뜨거든요 .. 은행사이트에 접근하면 꼭 뜨더라구요 삭제시키는 방법이 없나요?

    • 진단명을 봐서는 가상 화폐(Bitcoin) 계열을 채굴하는 악성코드로 보입니다.

      단순히 진단명으로는 제가 관련 정보를 알 수 없기에 다른 유명 백신으로 정밀 검사를 해보시거나 http://hummingbird.tistory.com/notice/4859 내용을 참고하여 파일을 제작하여 메일로 보내주시기 바랍니다.