다수의 FTP 서버 해킹을 통해 비트코인(BitCoin) 채굴 클라이언트를 설치하는 악성 프로그램 유포 사례가 확인되어 살펴보도록 하겠습니다.(※ 정보를 제공해주신 바이러스 제로 시즌 2 보안 카페 철이님에게 감사드립니다. )
국내 특정 호텔 관련 사이트에 접속할 경우 자동으로 Photo.scr 화면 보호기 파일을 다운로드하는 시도를 확인할 수 있습니다.
연결 정보를 확인해보면 사이트 접속 과정에서 악성 iFrame을 로딩하여 동일 서버에서 Photo.scr 파일이 자동 다운로드될 수 있습니다.
다운로드된 Photo.scr 화면 보호기 파일(SHA-1 : aeccba64f4dd19033ac2226b4445faac05c88b76 - 알약(ALYac) : Misc.Riskware.BitCoinMiner, AhnLab V3 : Trojan/Win32.CoinMiner.C1363390)은 폴더 아이콘 모양을 하고 있으며, 2016년 2월 7일경부터 유포가 이루어졌던 것으로 보입니다.
생성 파일 및 진단 정보 |
C:\Users\(로그인 계정명)\AppData\Local\Temp\NsCpuCNMiner32.exe
C:\Users\(로그인 계정명)\AppData\Local\Temp\pools.txt
|
생성 레지스트리 등록 정보 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
|
만약 다운로드 시도하는 Photo.scr 화면 보호기 파일을 사용자가 다운로드하여 실행할 경우 임시 폴더(%Temp%)에 NsCpuCNMiner32.exe 파일(32/64비트)을 생성 및 실행하며, 가상 환경인 경우에는 정상적으로 동작하지 않도록 분석을 방해합니다.
정상적으로 동작할 경우 pools.txt 파일에 추가된 URL 값을 참조하여 NightMiner (Python 기반 가상 화폐 채굴 클라이언트)을 동작하여 비트코인(BitCoin) 가상 화폐 채굴 행위를 수행할 수 있으며, 이로 인하여 CPU 상승과 같은 자원 소모가 발생할 수 있습니다.
그런데 해당 악성 파일 실행 시 다음과 같은 자가 복제 행위 및 유포를 위한 FTP 서버에 파일 업로드 행위를 수행할 수 있습니다.
"C:\Windows\System32\cmd.exe" /c for %i in (A B C D E F G H J K L M N O P R S T Q U Y I X V X W Z) do xcopy /y "C:\Users\(로그인 계정명)\Desktop\Photo.scr" %i:\
CMD 모드로 XCOPY /Y 명령어(기존 대상 파일을 덮어쓸지 여부를 묻지 않습니다.)를 통해 다운로드된 Photo.scr 화면 보호기 파일을 A~Z 드라이브까지 자동 복사 행위를 주기적으로 수행합니다.
이를 통해 다른 드라이브 루트 영역에 생성된 폴더 아이콘을 가진 Photo.scr 화면 보호기 파일을 사용자가 폴더로 착각하여 실행 시 동일한 행위를 지속하도록 전파하는 것으로 보입니다.
또한 다양한 FTP 서버를 대상으로 아이디(ID), 비밀번호를 대입하여 로그인에 성공할 경우 Photo.scr 화면 보호기 파일을 FTP 서버의 각 폴더에 업로드를 시도하는 행위를 통해 지속적으로 자신의 유포 행위를 확장할 수 있습니다.(※ 테스트 과정에서 성공적으로 접속된 FTP 서버의 경우 익명 사용자는 파일을 쓰기할 수 없도록 설정되어 실패하였습니다.)
이번에 확인된 비트코인(BitCoin) 가상 화폐 채굴 프로그램 유포 행위는 취약점(Exploit)을 이용한 방식이 아니므로 사용자의 추가적인 실행 행위가 이루어져야 하지만, 웹 사이트 접속 시 자동으로 다운로드되는 파일을 호기심에 실행하는 일이 없도록 주의하시기 바랍니다.