본문 바로가기

벌새::Analysis

사이트 접속 행위만으로 가상 화폐 채굴이 가능한 JavaScript 방식 주의 (2018.1.12)

가상 화폐 채굴 목적으로 일반적으로 사용자 몰래 PC에 설치하여 지속적으로 채굴 행위를 수행하는 방식에 대하여 다양한 형태로 유포되는 내용을 다루었습니다.

 

 

그런데 설치 방식이 아닌 사용자가 웹 브라우저를 이용하여 특정 사이트에 접속할 경우에만 동작하는 1회성 가상 화폐 채굴 방식이 유행하기 때문에 관련 내용을 살펴보도록 하겠습니다.

 

 

웹 브라우저의 종류와는 무관하게 특정 사이트에 접속할 경우 ESET Internet Security 보안 제품에서 특정 .js 스크립트 파일을 JS/CoinMiner.D 진단명으로 차단 여부를 묻는 것을 확인할 수 있습니다.

 

 

해당 사이트의 소스를 확인해보면 최상위 영역에 가상 화폐 채굴 목적의 스크립트가 포함되어 있는 것을 확인할 수 있으며, 이를 통해 특정 서버로부터 coin****.min.js 스크립트 파일(SHA-1 : 116cb0bd8425dee9fb6e47c6fe119fa63d1b0e29 - avast! : JS:Miner-C [Trj])을 받아오는 행위가 이루어지는 것을 알 수 있습니다.

 

 

이후 웹 브라우저 프로세스(iexplore.exe)를 확인해보면 CPU 사용량이 65% 수준을 지속적으로 유지하는 것을 확인할 수 있으며, 이 과정에서 사용자 PC에는 단순히 자바스크립트(JavaScript) 파일을 인터넷 임시 폴더에 다운로드된 상태일 뿐 프로그램 형태로 설치된 것이 아닙니다.

 

 

위와 같이 단순하게 웹 사이트 접속 과정에서 아무런 취약점(Exploit)도 없는 상태에서 다운로드되는 JavaScript 파일을 통해서 접속한 웹 브라우저를 통해 모네로(Monero) 가상 화폐를 채굴할 수 있는 기술도 존재합니다.

 

이런 채굴 방식은 해당 웹 사이트 관리자가 직접 추가할 수도 있지만, 외부에서 해킹을 통해 스크립트를 몰래 심은 후 사이트 방문자를 대상으로 1회성 채굴을 시도할 수 있습니다.

 

이런 문제로 Opera 웹 브라우저의 경우에는 위와 같은 채굴 방식을 차단할 수 있는 기능을 기본 탑재할 예정이며, 웹 브라우저 플러그인(확장 프로그램)을 통해서도 차단할 수 있도록 지원하고 있습니다.

 

그러므로 웹 사이트 접속 후 비정상적으로 웹 브라우저 프로세스(chrome.exe, firefox.exe, iexplore.exe, MicrosoftEdgeCP.exe, opera.exe 등)의 CPU 사용량이 지속적이고 비정상적으로 치솟는 경우에는 방문 중인 웹 사이트에서 나오시기 바랍니다.

  • 이렇떄에는 Anti-WebMiner같은 프로그램(호스트 건드린다는것이 신경쓰임)을 사용을 하거나 구글 크롬,파이어폭스,오페라 같은 경우에는 가상화폐채굴 방지 부가기능이나 설정을 이용하는것이 안전하게 컴퓨터와 스마트폰을 사용을 하는 방법이라고 생각이 됩니다.

    • 이런걸 차단하는 웹 브라우저용 플러그인이 있기는 하더군요. 백신에서도 차단될 수 있는 요소이기에 큰 문제는 아니지만 방문자 입장에서는 기분이 나쁠 것 같습니다.

  • 트레커,광고 차단기 사용중에 갑자기 접근 제한 뜨더니 비트코인 마이너 있다고 뜨던데 비트코인 맛 보더니 여기 저기서 심어 놓나 보네요

  • 근데 2018.02.01 12:31 댓글주소 수정/삭제 댓글쓰기

    이게 왜 악성코드죠?
    악성코드로 지칭되지 않으려뭐 무엇이 달라야하죠?
    배너도 악성코드라는 개념?

    • ㅇㅇ 2018.02.20 14:49 댓글주소 수정/삭제

      사용자 "동의없이" 멋대로 사용자의 컴퓨터를 무단으로 사용하여서 전자화폐를 채굴하는데 악성코드가 아닐리가 없습니다.
      악성코드로 지칭되지 않을려면 사용자의 파일을 무단으로 변경하거나 사용자의 동의없이 컴퓨터 자원을 가져다 쓴다거나 하는 일이 없어야 하는거로 알고 있습니다.
      파일 설치시 재대로 읽지않고 예 나 yes 만 누르는건 사용자 문제