본문 바로가기

벌새::Analysis

FTP 서버 해킹을 통한 비트코인(BitCoin) 가상 화폐 채굴 프로그램 유포 주의 (2016.4.11)

728x90
반응형

다수의 FTP 서버 해킹을 통해 비트코인(BitCoin) 채굴 클라이언트를 설치하는 악성 프로그램 유포 사례가 확인되어 살펴보도록 하겠습니다.(※ 정보를 제공해주신 바이러스 제로 시즌 2 보안 카페 철이님에게 감사드립니다. )

국내 특정 호텔 관련 사이트에 접속할 경우 자동으로 Photo.scr 화면 보호기 파일을 다운로드하는 시도를 확인할 수 있습니다.

연결 정보를 확인해보면 사이트 접속 과정에서 악성 iFrame을 로딩하여 동일 서버에서 Photo.scr 파일이 자동 다운로드될 수 있습니다.

다운로드된 Photo.scr 화면 보호기 파일(SHA-1 : aeccba64f4dd19033ac2226b4445faac05c88b76 - 알약(ALYac) : Misc.Riskware.BitCoinMiner, AhnLab V3 : Trojan/Win32.CoinMiner.C1363390)은 폴더 아이콘 모양을 하고 있으며, 2016년 2월 7일경부터 유포가 이루어졌던 것으로 보입니다.

 

생성 파일 및 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Local\Temp\NsCpuCNMiner32.exe
 - SHA-1 : fd358cfe41c7aa3aa9e4cf62f832d8ae6baa8107
 - McAfee : NightMiner-FXM

 

C:\Users\(로그인 계정명)\AppData\Local\Temp\pools.txt

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Run = C:\Users\(로그인 계정명)A\Downloads\Photo.scr

 

만약 다운로드 시도하는 Photo.scr 화면 보호기 파일을 사용자가 다운로드하여 실행할 경우 임시 폴더(%Temp%)에 NsCpuCNMiner32.exe 파일(32/64비트)을 생성 및 실행하며, 가상 환경인 경우에는 정상적으로 동작하지 않도록 분석을 방해합니다.

정상적으로 동작할 경우 pools.txt 파일에 추가된 URL 값을 참조하여 NightMiner (Python 기반 가상 화폐 채굴 클라이언트)을 동작하여 비트코인(BitCoin) 가상 화폐 채굴 행위를 수행할 수 있으며, 이로 인하여 CPU 상승과 같은 자원 소모가 발생할 수 있습니다.

 

그런데 해당 악성 파일 실행 시 다음과 같은 자가 복제 행위 및 유포를 위한 FTP 서버에 파일 업로드 행위를 수행할 수 있습니다.

"C:\Windows\System32\cmd.exe" /c for %i in (A B C D E F G H J K L M N O P R S T Q U Y I X V X W Z) do xcopy /y "C:\Users\(로그인 계정명)\Desktop\Photo.scr" %i:\

CMD 모드로 XCOPY /Y 명령어(기존 대상 파일을 덮어쓸지 여부를 묻지 않습니다.)를 통해 다운로드된 Photo.scr 화면 보호기 파일을 A~Z 드라이브까지 자동 복사 행위를 주기적으로 수행합니다.

이를 통해 다른 드라이브 루트 영역에 생성된 폴더 아이콘을 가진 Photo.scr 화면 보호기 파일을 사용자가 폴더로 착각하여 실행 시 동일한 행위를 지속하도록 전파하는 것으로 보입니다.

또한 다양한 FTP 서버를 대상으로 아이디(ID), 비밀번호를 대입하여 로그인에 성공할 경우 Photo.scr 화면 보호기 파일을 FTP 서버의 각 폴더에 업로드를 시도하는 행위를 통해 지속적으로 자신의 유포 행위를 확장할 수 있습니다.(※ 테스트 과정에서 성공적으로 접속된 FTP 서버의 경우 익명 사용자는 파일을 쓰기할 수 없도록 설정되어 실패하였습니다.)

 

이번에 확인된 비트코인(BitCoin) 가상 화폐 채굴 프로그램 유포 행위는 취약점(Exploit)을 이용한 방식이 아니므로 사용자의 추가적인 실행 행위가 이루어져야 하지만, 웹 사이트 접속 시 자동으로 다운로드되는 파일을 호기심에 실행하는 일이 없도록 주의하시기 바랍니다.

 

728x90
반응형