아시아 지역에서 빠르게 번지기 시작...이터널블루 활용하기 때문
공격자들이 노리는 건 모네로...베트남, 이란, 말레이시아 순으로 감염률 높아
[보안뉴스 문가용 기자] 아시아의 남쪽 지역에서 NSR마이너(NSRMiner)라는 채굴 코드의 새로운 버전이 빠르게 퍼지고 있다는 소식이다. 현재까지 감염된 시스템을 국가별로 파악하면 베트남이 54%로 1위, 이란이 16%로 2위, 말레이시아가 12%로 3위를 차지하고 있다. 현재의 NSR마이너는 오래된 버전의 NSR마이너가 있는 시스템이라면 업그레이드가 진행되고, 그렇지 않은 경우라면 이터널블루(EternalBlue)라는 익스플로잇으로 공격한다.
[이미지 = iclickart]
이터널블루는 NSA가 사용한 것으로 알려져 있는 익스플로잇 도구 중 하나로, 셰도우 브로커스(Shadow Brokers)라는 해킹 그룹이 훔쳐 내 공개하면서 일파만파 퍼졌다. 2017년을 시끄럽게 만들었던 워너크라이(WannaCry)와 낫페트야(NotPetya) 사건에도 이터널블루가 있었고, 그 후 많은 멀웨어 공격에 이터널블루가 사용되고 있다는 게 드러나기도 했다.
이터널블루는 MS 제품에 존재하는 취약점을 활용한 익스플로잇 기법으로, MS가 이 문제를 인지하고 패치를 배포하기 시작한 게 이미 2년 전의 일이다. 즉, 더 이상 통하면 안 되는 공격법이라는 것이다. 그러나 새롭게 등장한 채굴 멀웨어까지도 성공적으로 이를 활용하고 있다는 건 ‘패치’ 체계에 큰 문제가 있다는 걸 뜻한다.
보안 업체 에프시큐어(F-Secure)의 수석 연구원인 야르노 니멜라(Jarno Niemela)는 외신과의 인터뷰를 통해 “윈도우의 인기가 너무 높고, 따라서 해적판을 사용하는 사람들이 무수히 많으며, 정상적인 루트로 패치를 적용할 수가 없다”는 문제를 지적했다. 그러나 이것이 문제의 핵심은 아니다. 니멜라는 “투자의 불균형”을 지적한다. “패치나 보안 교육에 투자를 인색하게 하는 지역이 있고, 그렇지 않은 나라가 있습니다. 그리고 그 차이는 수년이 지나고 명확하게 보이기 시작하죠.”
한편 새 NRS마이너는 감염 방법에 있어서 약간의 업그레이드를 거쳤다. 기존 버전의 NRS마이너가 있는 시스템이라면 새로운 모듈을 다운로드 받고, 기존 파일 및 서비스들을 삭제한다. 이런 기능을 실시하는 업데이터 모듈 자체는 tecate.traduires.com이라는 곳에서부터 다운로드 된다. 다운로드 된 후 NRS마이너 최신 버전이 있는지 확인하고, 있다면 스스로를 삭제한다. 아니라면 하드코딩 된 URL들에 접속해 NRS마이너 최신 버전을 다운로드 받는다.
시스템에 침투 성공한 NRS마이너는 다양한 쓰레드를 만들기 시작한다. 프로세서와 시스템 정보를 추출하는 것은 물론 새로운 모듈을 받아들이고 채굴을 시작하기 위함이다. 채굴 모듈은 svchost.exe라는 프로세스에 주입되어 일을 시작한다. 만약 이 방법이 작동하지 않는다면 system32 폴더에 있는 TrustedHostex.exe라는 파일에 작성되어 실행된다.
snmpstorsrv라는 서비스가 wininit.exe라는 파일로 압축 해제가 되기도 한다. 그런 후 svchost.exe와 연계된다. 하지만 이 과정이 실패할 경우, wininit이 \AppDiagnostics\wininit.exe에 작성된 후 실행된다. Wininit은 이후에 있을 멀웨어 증식과 추가 감염에 있어 중요한 역할을 담당한다. 압축 해제 과정에서 파일 하나가 AppDiagnostics 폴더로 복사되는데, 이름은 svchost.exe지만 사실은 이터널블루 2.2.0이다.
Wininit.exe는 TCP 포트 445번을 통해 로컬 네트워크를 스캔한다. 감염을 시킬만한 다른 포트가 있나 찾는 것이다. 후보자가 나타나면 이터널블루를 실행시킨다. 성공 시에는 더블펄사(DoublePulsar)라는 백도어가 새로운 시스템에 심겨진다. 그 다음부터 NSR마이너의 감염 프로세스가 처음부터 발동된다.
채굴 모듈은 XMRig라는 모네로 전문 채굴 코드다. 모네로는 2018년 1월만 해도 542달러에 거래되다가 현재는 50달러의 가치도 갖지 못한 상태다. 그럼에도 모네로는 어느 정도의 인기를 유지하고 있는데, 그 이유 중 하나는 전 세계 1억명이 넘는 사용자를 보유한 게임인 포트나이트(Fortnite)가 모네로를 통한 온라인 아이템 구매를 실시하기 시작했다는 것이다. 게이머들 사이에서 모네로의 관심이 살짝 올라가기 시작했다. 범죄자들은 모네로의 익명성을 크게 선호한다.
NSR마이너는 아직까지 한국에는 상륙하지 않은 것으로 보인다. 그렇지만 이터널블루와 관련된 패치가 적용되지 않은 곳이라면 지금이라도 적용하는 게 도움이 될 것으로 보인다. NSR마이너가 아니더라도 현재 이터널블루는 해커들 사이에서 널리 사용되는 도구이기 때문이다.
3줄 요약
1. NSR마이너, 아시아 남부 지역에서부터 빠르게 퍼지고 있는 멀웨어.
2. 범죄자들은 NSR마이너 통해 모네로 채굴하고, 이터널블루로 추가 감염 이어가고 있음.
3. 이터널블루 취약점은 이미 2년 전에 패치된 것. 지금이라도 적용하면 다행임.
[국제부 문가용 기자(globoan@boannews.com)]
공격자들이 노리는 건 모네로...베트남, 이란, 말레이시아 순으로 감염률 높아
[보안뉴스 문가용 기자] 아시아의 남쪽 지역에서 NSR마이너(NSRMiner)라는 채굴 코드의 새로운 버전이 빠르게 퍼지고 있다는 소식이다. 현재까지 감염된 시스템을 국가별로 파악하면 베트남이 54%로 1위, 이란이 16%로 2위, 말레이시아가 12%로 3위를 차지하고 있다. 현재의 NSR마이너는 오래된 버전의 NSR마이너가 있는 시스템이라면 업그레이드가 진행되고, 그렇지 않은 경우라면 이터널블루(EternalBlue)라는 익스플로잇으로 공격한다.
[이미지 = iclickart]
이터널블루는 NSA가 사용한 것으로 알려져 있는 익스플로잇 도구 중 하나로, 셰도우 브로커스(Shadow Brokers)라는 해킹 그룹이 훔쳐 내 공개하면서 일파만파 퍼졌다. 2017년을 시끄럽게 만들었던 워너크라이(WannaCry)와 낫페트야(NotPetya) 사건에도 이터널블루가 있었고, 그 후 많은 멀웨어 공격에 이터널블루가 사용되고 있다는 게 드러나기도 했다.
이터널블루는 MS 제품에 존재하는 취약점을 활용한 익스플로잇 기법으로, MS가 이 문제를 인지하고 패치를 배포하기 시작한 게 이미 2년 전의 일이다. 즉, 더 이상 통하면 안 되는 공격법이라는 것이다. 그러나 새롭게 등장한 채굴 멀웨어까지도 성공적으로 이를 활용하고 있다는 건 ‘패치’ 체계에 큰 문제가 있다는 걸 뜻한다.
보안 업체 에프시큐어(F-Secure)의 수석 연구원인 야르노 니멜라(Jarno Niemela)는 외신과의 인터뷰를 통해 “윈도우의 인기가 너무 높고, 따라서 해적판을 사용하는 사람들이 무수히 많으며, 정상적인 루트로 패치를 적용할 수가 없다”는 문제를 지적했다. 그러나 이것이 문제의 핵심은 아니다. 니멜라는 “투자의 불균형”을 지적한다. “패치나 보안 교육에 투자를 인색하게 하는 지역이 있고, 그렇지 않은 나라가 있습니다. 그리고 그 차이는 수년이 지나고 명확하게 보이기 시작하죠.”
한편 새 NRS마이너는 감염 방법에 있어서 약간의 업그레이드를 거쳤다. 기존 버전의 NRS마이너가 있는 시스템이라면 새로운 모듈을 다운로드 받고, 기존 파일 및 서비스들을 삭제한다. 이런 기능을 실시하는 업데이터 모듈 자체는 tecate.traduires.com이라는 곳에서부터 다운로드 된다. 다운로드 된 후 NRS마이너 최신 버전이 있는지 확인하고, 있다면 스스로를 삭제한다. 아니라면 하드코딩 된 URL들에 접속해 NRS마이너 최신 버전을 다운로드 받는다.
시스템에 침투 성공한 NRS마이너는 다양한 쓰레드를 만들기 시작한다. 프로세서와 시스템 정보를 추출하는 것은 물론 새로운 모듈을 받아들이고 채굴을 시작하기 위함이다. 채굴 모듈은 svchost.exe라는 프로세스에 주입되어 일을 시작한다. 만약 이 방법이 작동하지 않는다면 system32 폴더에 있는 TrustedHostex.exe라는 파일에 작성되어 실행된다.
snmpstorsrv라는 서비스가 wininit.exe라는 파일로 압축 해제가 되기도 한다. 그런 후 svchost.exe와 연계된다. 하지만 이 과정이 실패할 경우, wininit이 \AppDiagnostics\wininit.exe에 작성된 후 실행된다. Wininit은 이후에 있을 멀웨어 증식과 추가 감염에 있어 중요한 역할을 담당한다. 압축 해제 과정에서 파일 하나가 AppDiagnostics 폴더로 복사되는데, 이름은 svchost.exe지만 사실은 이터널블루 2.2.0이다.
Wininit.exe는 TCP 포트 445번을 통해 로컬 네트워크를 스캔한다. 감염을 시킬만한 다른 포트가 있나 찾는 것이다. 후보자가 나타나면 이터널블루를 실행시킨다. 성공 시에는 더블펄사(DoublePulsar)라는 백도어가 새로운 시스템에 심겨진다. 그 다음부터 NSR마이너의 감염 프로세스가 처음부터 발동된다.
채굴 모듈은 XMRig라는 모네로 전문 채굴 코드다. 모네로는 2018년 1월만 해도 542달러에 거래되다가 현재는 50달러의 가치도 갖지 못한 상태다. 그럼에도 모네로는 어느 정도의 인기를 유지하고 있는데, 그 이유 중 하나는 전 세계 1억명이 넘는 사용자를 보유한 게임인 포트나이트(Fortnite)가 모네로를 통한 온라인 아이템 구매를 실시하기 시작했다는 것이다. 게이머들 사이에서 모네로의 관심이 살짝 올라가기 시작했다. 범죄자들은 모네로의 익명성을 크게 선호한다.
NSR마이너는 아직까지 한국에는 상륙하지 않은 것으로 보인다. 그렇지만 이터널블루와 관련된 패치가 적용되지 않은 곳이라면 지금이라도 적용하는 게 도움이 될 것으로 보인다. NSR마이너가 아니더라도 현재 이터널블루는 해커들 사이에서 널리 사용되는 도구이기 때문이다.
3줄 요약
1. NSR마이너, 아시아 남부 지역에서부터 빠르게 퍼지고 있는 멀웨어.
2. 범죄자들은 NSR마이너 통해 모네로 채굴하고, 이터널블루로 추가 감염 이어가고 있음.
3. 이터널블루 취약점은 이미 2년 전에 패치된 것. 지금이라도 적용하면 다행임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
