비트보트, 표준 PC로 채굴 위해 만들어진 비트코인의 포크
악성 계산기 앱 통해 채굴 코드 퍼트려...오래된 윈도우만 노려
[보안뉴스 문가용 기자] 지난 1월에 시작된 따끈따끈한 비트보트(Bitvote)는 비트코인의 포크 중 하나이다. 그런데 최근 사이버 공격자들이 악성 계산기 앱을 통해 이 비트보트를 활성화시키거나 사용자들을 노리고 있다는 소식이다. 다행인 건 아직 감염된 봇이 2500개에 불과하고, 공격자들이 벌어들인 수익은 4400 BTV 정도로 이는 약 1300 달러 정도라고 한다. 그리고 공격은 지금으로서 멈춘 것으로 보인다.
[이미지 = iclickart]
이 위협을 발견한 건 시스코의 탈로스 팀이다. 감염에 피해를 입은 시스템은 주로 인도, 인도네시아, 베트남 등지에서 발견된다고 한다. “비트보트 환경에서 사용된 이 악성 계산기 앱은 상당히 흥미롭습니다. 악성 드라이버를 사용하는데, 이 드라이버가 많은 기능을 수행하고 있더군요. 페이로드를 보호할뿐만 아니라 C&C 설정을 관리하기도 하고, 여러 추가 기능을 다운로드 받아 실시하는 것도 바로 이 드라이버입니다. 최종 페이로드도 이 드라이버가 가져오고요.”
고도로 발달된 드라이버가 사용되고 있긴 하지만 최종 페이로드는 그리 무시무시하지 않다고 한다. “오픈소스인 cpuminer 애플리케이션의 변종입니다. cpuminer는 TCP 포트 5700을 통해 채굴 사이트(mining pool site)와 연결시키는 기능을 가지고 있습니다.”
비트보트는 지난 1월 비트코인의 대체제로서 일부 개발자들에 의해 만들어졌다. 특히 표준 데스크톱 PC들을 가지고도 가장 효율적으로 디지털 화폐를 채굴할 수 있게 하는 게 목표였다. “이제 사이버 공격자들은 랜섬웨어보다는 암호화폐에 더 많은 관심을 기울이고 있습니다. 그러니 이렇게 새롭게 생긴 화폐를 노리거나 악용하는 사례가 나온다는 건 놀라라 일도 아니죠.” 탈로스 블로그에 적힌 설명이다.
탈로스가 악성 계산기 앱을 제일 먼저 발견한 건 2월 6일의 일이다. 마이크로소프트 툴킷(Microsoft Toolkit)이 호스팅 된 사이트에서였다. 마이크로소프트 툴킷은 오피스나 윈도우의 다양한 버전을 라이선스 없이 사용할 수 있도록 해주는 툴로, 사용자들이 이 툴킷을 설치할 때 잠재적 비요구 프로그램(PUA)의 형태로 같이 깔린다.
“제일 먼저 설치되는 건 드로퍼입니다. 드로퍼가 기기를 검사하여 가상 환경인지 아닌지를 분간합니다. 그래서 정상적인 환경인 것을 파악한 후에 32비트 혹은 64비트 버전의 커널 모드 드라이버를 설치합니다. 이는 OS에 따라 달라지는 것이죠. 물론 사용자에겐, 사용자들이 기대한 계산기 기능을 제공합니다.”
이렇게 설치된 드라이버는 최종 페이로드인 cpuminer의 변종을 맞아들이기 위한 준비 작업을 실시한다. 드로퍼 내 하드코드 된 URL에 호스팅 된 환경설정 파일을 확인함으로써 C&C 인프라를 관리하고, 그 URL을 통해 다운로드 된 GIF 파일 내에 숨겨진 C&C 위치 정보를 복호화 한다.
여기까지는 다른 멀웨어 다운로더나 드로퍼들 사이에서도 발견되는 것들이다. 그러나 한 가지 다른 것은 드라이버가 스스로 비트보트 풀 채굴 에이전트를 다운로드 받아 실행시킨다는 것이다. “드라이버를 만든 사람이 누군지 모르지만 이런 류의 공격에 매우 능숙하다는 걸 알 수 있습니다. 아마 비트보트 채굴 공격 전체를 운영하는 사람이 이 악성 드라이버의 제작자일 수도 있습니다.”
악성 드라이버는 장쑤성 혁신 안전 평가 주식회사(Jiangsu Innovation Safety Assessment Co., Ltd.)라는 업체의 인증서로 서명이 되어 있다. 하지만 인증서 만료일 문제 때문에 윈도우 비스타나 그 이상 버전에서는 드라이버가 다운로드 되지 않는다고 한다. 이것이 공격자의 의도인지 실수인지는 아직 명확히 알 수 없다고 탈로스 팀은 밝히고 있다.
“오래된 윈도우만 노리도록 설정을 한 것이나 다름이 없는데, 그런 시스템에서는 채굴이 제대로 될 리가 없다는 걸 생각하면 공격자의 실수인 것도 같습니다. 그러나 오래된 시스템일수록 방어 체계가 허술하다는 걸 생각해보면 의도적인 것도 같고요. 확실한 건 오래된 시스템에서는 이 공격이 탐지가 잘 되지 않는다는 겁니다.”
또한 드라이버가 제조사 이름이 딱히 붙어있지 않은 서드파티 툴킷으로 만들어졌다는 것에도 탈로스는 집중하고 있다. “그러니 공격자가 환경설정과 페이로드 ULR을 간단하게 특정 지을 수 있게 됩니다. 그런 후에는 이 툴킷을 가지고 드라이버를 서명할 수도 있고요. 그렇기 때문에 이미 만료된 인증서로 지금 서명이 되어 있는 것이겠죠.”
[국제부 문가용 기자(globoan@boannews.com)]
악성 계산기 앱 통해 채굴 코드 퍼트려...오래된 윈도우만 노려
[보안뉴스 문가용 기자] 지난 1월에 시작된 따끈따끈한 비트보트(Bitvote)는 비트코인의 포크 중 하나이다. 그런데 최근 사이버 공격자들이 악성 계산기 앱을 통해 이 비트보트를 활성화시키거나 사용자들을 노리고 있다는 소식이다. 다행인 건 아직 감염된 봇이 2500개에 불과하고, 공격자들이 벌어들인 수익은 4400 BTV 정도로 이는 약 1300 달러 정도라고 한다. 그리고 공격은 지금으로서 멈춘 것으로 보인다.
[이미지 = iclickart]
이 위협을 발견한 건 시스코의 탈로스 팀이다. 감염에 피해를 입은 시스템은 주로 인도, 인도네시아, 베트남 등지에서 발견된다고 한다. “비트보트 환경에서 사용된 이 악성 계산기 앱은 상당히 흥미롭습니다. 악성 드라이버를 사용하는데, 이 드라이버가 많은 기능을 수행하고 있더군요. 페이로드를 보호할뿐만 아니라 C&C 설정을 관리하기도 하고, 여러 추가 기능을 다운로드 받아 실시하는 것도 바로 이 드라이버입니다. 최종 페이로드도 이 드라이버가 가져오고요.”
고도로 발달된 드라이버가 사용되고 있긴 하지만 최종 페이로드는 그리 무시무시하지 않다고 한다. “오픈소스인 cpuminer 애플리케이션의 변종입니다. cpuminer는 TCP 포트 5700을 통해 채굴 사이트(mining pool site)와 연결시키는 기능을 가지고 있습니다.”
비트보트는 지난 1월 비트코인의 대체제로서 일부 개발자들에 의해 만들어졌다. 특히 표준 데스크톱 PC들을 가지고도 가장 효율적으로 디지털 화폐를 채굴할 수 있게 하는 게 목표였다. “이제 사이버 공격자들은 랜섬웨어보다는 암호화폐에 더 많은 관심을 기울이고 있습니다. 그러니 이렇게 새롭게 생긴 화폐를 노리거나 악용하는 사례가 나온다는 건 놀라라 일도 아니죠.” 탈로스 블로그에 적힌 설명이다.
탈로스가 악성 계산기 앱을 제일 먼저 발견한 건 2월 6일의 일이다. 마이크로소프트 툴킷(Microsoft Toolkit)이 호스팅 된 사이트에서였다. 마이크로소프트 툴킷은 오피스나 윈도우의 다양한 버전을 라이선스 없이 사용할 수 있도록 해주는 툴로, 사용자들이 이 툴킷을 설치할 때 잠재적 비요구 프로그램(PUA)의 형태로 같이 깔린다.
“제일 먼저 설치되는 건 드로퍼입니다. 드로퍼가 기기를 검사하여 가상 환경인지 아닌지를 분간합니다. 그래서 정상적인 환경인 것을 파악한 후에 32비트 혹은 64비트 버전의 커널 모드 드라이버를 설치합니다. 이는 OS에 따라 달라지는 것이죠. 물론 사용자에겐, 사용자들이 기대한 계산기 기능을 제공합니다.”
이렇게 설치된 드라이버는 최종 페이로드인 cpuminer의 변종을 맞아들이기 위한 준비 작업을 실시한다. 드로퍼 내 하드코드 된 URL에 호스팅 된 환경설정 파일을 확인함으로써 C&C 인프라를 관리하고, 그 URL을 통해 다운로드 된 GIF 파일 내에 숨겨진 C&C 위치 정보를 복호화 한다.
여기까지는 다른 멀웨어 다운로더나 드로퍼들 사이에서도 발견되는 것들이다. 그러나 한 가지 다른 것은 드라이버가 스스로 비트보트 풀 채굴 에이전트를 다운로드 받아 실행시킨다는 것이다. “드라이버를 만든 사람이 누군지 모르지만 이런 류의 공격에 매우 능숙하다는 걸 알 수 있습니다. 아마 비트보트 채굴 공격 전체를 운영하는 사람이 이 악성 드라이버의 제작자일 수도 있습니다.”
악성 드라이버는 장쑤성 혁신 안전 평가 주식회사(Jiangsu Innovation Safety Assessment Co., Ltd.)라는 업체의 인증서로 서명이 되어 있다. 하지만 인증서 만료일 문제 때문에 윈도우 비스타나 그 이상 버전에서는 드라이버가 다운로드 되지 않는다고 한다. 이것이 공격자의 의도인지 실수인지는 아직 명확히 알 수 없다고 탈로스 팀은 밝히고 있다.
“오래된 윈도우만 노리도록 설정을 한 것이나 다름이 없는데, 그런 시스템에서는 채굴이 제대로 될 리가 없다는 걸 생각하면 공격자의 실수인 것도 같습니다. 그러나 오래된 시스템일수록 방어 체계가 허술하다는 걸 생각해보면 의도적인 것도 같고요. 확실한 건 오래된 시스템에서는 이 공격이 탐지가 잘 되지 않는다는 겁니다.”
또한 드라이버가 제조사 이름이 딱히 붙어있지 않은 서드파티 툴킷으로 만들어졌다는 것에도 탈로스는 집중하고 있다. “그러니 공격자가 환경설정과 페이로드 ULR을 간단하게 특정 지을 수 있게 됩니다. 그런 후에는 이 툴킷을 가지고 드라이버를 서명할 수도 있고요. 그렇기 때문에 이미 만료된 인증서로 지금 서명이 되어 있는 것이겠죠.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
