울지않는벌새 : Security, Movie & Society

구글 애드센스 광고 배너를 통해 유포되는 가상 화폐 채굴 악성코드 주의 (2018.1.5)

벌새::Analysis

폭발적으로 증가하는 가상 화폐에 대한 관심과 투자에 따라 가상 화폐 채굴(Miner) 기능을 포함한 악성코드가 다양한 유포 방식으로 사용자 PC에 설치되는 부분에 대해 블로그를 통해 지속적으로 소개해 드리고 있습니다.

 

 

이번에는 접속한 웹 사이트에서 쉽게 접할 수 있는 구글 애드센스(Google AdSense) 광고 배너를 통해 유포되는 가상 화폐 채굴 악성코드 사례를 살펴보도록 하겠습니다.

 

 

2017년 1월 4일경 국내 유명 커뮤니티 사이트에서 노출되는 Google AdSense 광고 배너 중 "WARNING! YOUR COMPUTER IS INFECTED" 메시지를 표시하여 무료 안티바이러스 프로그램을 다운로드하도록 유도하는 배너를 확인할 수 있습니다.

 

 

사용자가 배너를 클릭할 경우 아마존(Amazon) 서버에서 ESET NOD32 백신 프로그램처럼 위장한 EsetNod32_51.2.1.exe 파일(SHA-1 : ac0ab8ecc19cc62e76884df3c051734afaeb8cb1 - Kaspersky : Trojan.Win32.Miner.tgqk)이 다운로드되는 것을 확인할 수 있습니다.

 

 

우선 Google AdSense 광고 배너쪽을 살펴보면 "tpc.googlesyndication.com" 광고 서버를 통해 광고 배너가 노출되며 클릭 시 악성 파일이 즉시 다운로드되는 형태임을 알 수 있습니다.

 

광고 배너 부분을 더 자세하게 접근해보면 원래는 러시아의 특정 사이트(crandon.ru) 광고 배너가 먼저 노출된 후 특정 러시아 서버(.ru)로 자동 연결되어 문제의 광고 배너가 최종적으로 노출되는 것을 알 수 있습니다.

 

 

다운로드된 ESET NOD32 백신 프로그램으로 위장한 악성 파일은 2018년 1월 2일경 서버에 등록되어 유포가 시작된 것으로 추정됩니다.

 

생성 폴더 / 파일 및 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\1337
C:\Users\%UserName%\AppData\Roaming\1337\EsetNod32_13.1.1.exe
 - SHA-1 : 3f321616acb865db5ccbd61c4dc1081f0265d980

 

C:\ProgramData\SystemIdle.exe :: 숨김(H)/시스템(S) 파일 속성, 작업 스케줄러(ServiceRun) 등록 파일, 메모리 상주 프로세스
 - SHA-1 : 4b9e9d79082076727e616c9b2e6a038ed1da6ef0
 - BitDefender : Gen:Variant.Zusy.271394

 

C:\Windows\System32\Tasks\Windowss
C:\Windows\System32\Tasks\Windowss\Data
C:\Windows\System32\Tasks\Windowss\Data\ServiceRun

 

 

실행된 악성 파일은 "C:\Users\%UserName%\AppData\Roaming\1337" 폴더에 EsetNod32_23.1.0.exe, EsetNod32_13.1.1.exe 파일을 생성한 후 EsetNod32_23.1.0.exe 파일은 "C:\ProgramData\SystemIdle.exe" 파일로 자가 복제한 후 자동 삭제 처리됩니다.

 

"C:\Users\%UserName%\AppData\Roaming\1337\EsetNod32_13.1.1.exe" 파일의 기능을 살펴보면 최초 실행 시 "h**p://46.101.225.105/joker/ter.php" 서버로 정보를 전송하는 행위를 수행합니다.

 

 

코드를 확인해보면 사용자 시스템 Process 정보를 기반으로 한 식별 정보를 전송할 것으로 보이며, 실제 전송되는 패킷을 보면 식별 ID와 CPU 정보가 포함되어 있는 것을 알 수 있습니다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CD1BA11E-3D55-47C8-B3E1-0A1575247562}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windowss
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windowss\Data
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windowss\Data\ServiceRun

해당 악성코드의 실행 방식은 시스템 시작 시 "Windowss → Data → ServiceRun" 작업 스케줄러 영역에 등록된 자동 실행값을 통해 "C:\ProgramData\SystemIdle.exe" 파일을 실행하며, 해당 파일은 1분 단위로 재실행이 이루어지도록 설정되어 있습니다.

 

 

Themida 패킹으로 제작된 "C:\ProgramData\SystemIdle.exe" 악성 파일은 실행 시마다 다음과 같은 동작을 수행할 수 있습니다.

 

① 최초 감염 시 추가된 ServiceRun 작업 스케줄러를 재등록(schtasks /create /tn \Windowss\Data\ServiceRun /tr "C:\ProgramData\SystemIdle.exe" /st 00:00 /sc once /du 9999:59 /ri 1 /f)합니다.

 

② 쉽게 찾을 수 없도록 숨김(H), 시스템(S) 파일 속성으로 설정된 "C:\ProgramData\SystemIdle.exe" 파일의 속성값이 풀리지 않도록 실행 시마다 [attrib +s +h "C:\ProgramData\SystemIdle.exe"] 명령어를 실행합니다.

 

③ 최초 실행 시 작업 관리자(Taskmgr.exe) 또는 ProcessHacker.exe 프로세스가 실행 중인 경우에는 자동 종료 처리됩니다.

 

 

만약 실행 조건에 만족할 경우 실행된 "C:\ProgramData\SystemIdle.exe" 악성 파일은 "C:\Windows\System32\attrib.exe" 시스템 파일에 인젹션하여 가상 화폐 채굴 행위를 수행하게 되며, 기본적으로 약 50% 수준의 CPU 사용량을 보입니다.

 

 

채굴 행위를 확인해보면 모네로(Monero) 가상 화폐 채굴을 위해 "xmr.pool.minergate.com (176.9.0.89:45560)" 접속을 통해 작업이 진행됩니다.

 

사용자가 실수로 광고 배너를 통해 다운로드된 파일을 실행할 경우 가상 화폐 채굴 행위는 CPU 사용량을 통해 인지할 수 있을지라도 악성 파일 및 자동 실행값을 찾는데 어려움이 예상되므로 인터넷 상에서 표시되는 경고 메시지에 겁을 먹고 다운로드된 파일을 함부로 실행하는 일이 없도록 하시기 바랍니다.