암호화폐 채굴의 장점은 피해자 개입 필요 없고 발각되지 않는다는 것
최근 스모크로더 급증하고 있지만 이유는 명확하지 않아
[보안뉴스 문가용 기자] 한 풀 죽은 것 같았던 암호화폐 채굴 공격이, 사실은 당분간 지속될 것이라는 예측이 나왔다. 보안 업체 체크포인트(Check Point)가 이에 대한 조사를 마치고 보고서를 작성했다.
[이미지 = iclickart]
체크포인트에 의하면 “전 세계적으로 가장 활발한 위협 1위를 13개월 연속 암호화폐 채굴 멀웨어가 차지했다”고 한다. 그 중에서도 가장 활발했던 건 코인하이브(Coinhive)라는 채굴 코드였으며, 전 세계 조직의 12%에서 발견됐다고 한다. 그 외에도 최근 몇 달 간 발견된 가장 활발한 멀웨어 10개 중 5개가 채굴과 관련된 것이었다.
암호화폐의 가치가 총체적으로 떨어져가는 가운데 이러한 소식은 꽤나 놀라운 것이다. “암호화폐 채굴 공격의 가장 큰 장점은 사용자의 개입이 하나도 없이 직접적인 수익을 거둘 수 있다는 것입니다. 은행 트로이목마나 랜섬웨어를 사용했을 때처럼 공격을 정교하게 준비할 필요도 없고요.” 체크포인트의 데이터 연구 팀장인 오머 뎀빈스키(Omer Dembinsky)의 설명이다.
암호화폐 멀웨어로 감염된 시스템의 사용자들은 대부분의 경우 자신이 감염되었다는 사실을 모른다. 공격자들이 채굴에 욕심을 내서 시스템 속도가 갑자기 뚝뚝 떨어질 때에서야 겨우 의심을 해보는 정도다. 사양이 높은 고급 컴퓨터(기업용 서버 등)에 심긴 암호화폐 채굴 코드는 사양이 높기 때문에 암호화폐 채굴 행위가 드러나지 않는다.
“채굴은 개인 컴퓨터, 모바일 폰, 서버 등 컴퓨팅 파워를 갖춘 모든 장비의 배경에서 진행될 수 있습니다. 사실 현대 사회를 사는 모든 사람들이 잠재적 표적일 수 있다는 것이죠.” 뎀빈스키의 설명이다.
지난 몇 개월 동안 가장 활발히 익스플로잇 된 취약점들 역시 대부분 불법 암호화폐 채굴에 활용됐다. 그 중 1위는 CVE-2017-7269로, 마이크로소프트 IIS 요소에서 발견된 버퍼 오버플로우 취약점이다. 2년 전에 발견됐고, 패치가 된 것도 한참 전의 일이다.
뎀빈스키는 “취약점이 공격에 가장 많이 활용되는 도구인 건, 고급 서버에서도 발견되고 사람들이 패치를 하지 않아 오랫동안 남아있기 때문”이라고 설명한다. “컴퓨터를 사용하는 조직이라면 반드시 최신 패치와 업데이트의 적용을 게을리 하지 말아야 합니다. 그렇지 않으면 취약점을 통한 공격에 당할 수밖에 없게 됩니다. 이미 경고가 다 나온 마당에 말이죠.”
암호화폐 채굴 공격이 활발하긴 하지만, 이것만이 무서운 위협거리인 건 아니다. 체크포인트는 스모크로더(SmokeLoader)가 갑자기 급증했다고 경고하기도 했다. 스모크로더란 멀웨어를 다운로더 하는 툴로, 이전에 사이버 공격자들이 트릭봇(Trickbot)과 판다(Panda)라는 뱅킹 트로이목마나 아조럴트(AZORult)라는 정보 탈취형 멀웨어를 퍼트리는 데 사용했다. 2011년부터 발견되어 왔지만, 체크포인트의 ‘탑10’ 목록에 들어간 적은 한 번도 없었다.
스모크로더가 급증한 지역은 우크라이나와 일본이다. 아직까지 이 지역에서 스모크로더가 갑자기 늘어난 이유는 아직 정확히 밝혀지지 않았다. “공격은 이처럼 과거의 것이라고 해서 줄어들거나 잊어버려도 되는 게 아닙니다. 그러니 항상 최신 공격에 대해 잘 파악하고 있어야 합니다. 어떤 위협요소가 갑자기 등장하거나 부활할지 우리는 예측할 수 없습니다. 그렇다고 누구나 모든 위협에 대한 역사를 외우고 있을 필요는 없고요. 최신화가 가장 간단한 방비책입니다.”
그 외 체크포인트가 뽑은 최고의 10개 위협요소들은 다목적 코드였다. “각종 목적으로 각종 멀웨어를 배포하는 멀웨어들이 최근 큰 위협거리로 떠오르고 있습니다. 예를 들면 이모텟(Emotet)이 대표적이죠. 램닛(Ramnit)도 그렇고요.”
또한 체크포인트는 “10위 목록은 몇 개월 동안 거의 변동이 없다는 걸 기억해야 한다”고 짚어냈다. “기존에 없던 녀석이 갑자기 등장해 10위권으로 치고 들어오는 경우는 거의 없습니다. 공격자들은 같은 수법을 쓰고 또 쓴다는 이야기이고, 우리는 같은 것에 당하고 또 당한다는 뜻입니다.”
3줄 요약
1. 암호화폐 채굴 멀웨어, 수개월 동안 1위 위협요소 자리 굳건히 지킴.
2. 가장 많이 활용되는 취약점은 CVE-2017-7269로, 이미 패치 나온 지 오래된 취약점.
3. 갑자기 일본과 우크라이나 중심으로 스모크로더 증가하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
최근 스모크로더 급증하고 있지만 이유는 명확하지 않아
[보안뉴스 문가용 기자] 한 풀 죽은 것 같았던 암호화폐 채굴 공격이, 사실은 당분간 지속될 것이라는 예측이 나왔다. 보안 업체 체크포인트(Check Point)가 이에 대한 조사를 마치고 보고서를 작성했다.
[이미지 = iclickart]
체크포인트에 의하면 “전 세계적으로 가장 활발한 위협 1위를 13개월 연속 암호화폐 채굴 멀웨어가 차지했다”고 한다. 그 중에서도 가장 활발했던 건 코인하이브(Coinhive)라는 채굴 코드였으며, 전 세계 조직의 12%에서 발견됐다고 한다. 그 외에도 최근 몇 달 간 발견된 가장 활발한 멀웨어 10개 중 5개가 채굴과 관련된 것이었다.
암호화폐의 가치가 총체적으로 떨어져가는 가운데 이러한 소식은 꽤나 놀라운 것이다. “암호화폐 채굴 공격의 가장 큰 장점은 사용자의 개입이 하나도 없이 직접적인 수익을 거둘 수 있다는 것입니다. 은행 트로이목마나 랜섬웨어를 사용했을 때처럼 공격을 정교하게 준비할 필요도 없고요.” 체크포인트의 데이터 연구 팀장인 오머 뎀빈스키(Omer Dembinsky)의 설명이다.
암호화폐 멀웨어로 감염된 시스템의 사용자들은 대부분의 경우 자신이 감염되었다는 사실을 모른다. 공격자들이 채굴에 욕심을 내서 시스템 속도가 갑자기 뚝뚝 떨어질 때에서야 겨우 의심을 해보는 정도다. 사양이 높은 고급 컴퓨터(기업용 서버 등)에 심긴 암호화폐 채굴 코드는 사양이 높기 때문에 암호화폐 채굴 행위가 드러나지 않는다.
“채굴은 개인 컴퓨터, 모바일 폰, 서버 등 컴퓨팅 파워를 갖춘 모든 장비의 배경에서 진행될 수 있습니다. 사실 현대 사회를 사는 모든 사람들이 잠재적 표적일 수 있다는 것이죠.” 뎀빈스키의 설명이다.
지난 몇 개월 동안 가장 활발히 익스플로잇 된 취약점들 역시 대부분 불법 암호화폐 채굴에 활용됐다. 그 중 1위는 CVE-2017-7269로, 마이크로소프트 IIS 요소에서 발견된 버퍼 오버플로우 취약점이다. 2년 전에 발견됐고, 패치가 된 것도 한참 전의 일이다.
뎀빈스키는 “취약점이 공격에 가장 많이 활용되는 도구인 건, 고급 서버에서도 발견되고 사람들이 패치를 하지 않아 오랫동안 남아있기 때문”이라고 설명한다. “컴퓨터를 사용하는 조직이라면 반드시 최신 패치와 업데이트의 적용을 게을리 하지 말아야 합니다. 그렇지 않으면 취약점을 통한 공격에 당할 수밖에 없게 됩니다. 이미 경고가 다 나온 마당에 말이죠.”
암호화폐 채굴 공격이 활발하긴 하지만, 이것만이 무서운 위협거리인 건 아니다. 체크포인트는 스모크로더(SmokeLoader)가 갑자기 급증했다고 경고하기도 했다. 스모크로더란 멀웨어를 다운로더 하는 툴로, 이전에 사이버 공격자들이 트릭봇(Trickbot)과 판다(Panda)라는 뱅킹 트로이목마나 아조럴트(AZORult)라는 정보 탈취형 멀웨어를 퍼트리는 데 사용했다. 2011년부터 발견되어 왔지만, 체크포인트의 ‘탑10’ 목록에 들어간 적은 한 번도 없었다.
스모크로더가 급증한 지역은 우크라이나와 일본이다. 아직까지 이 지역에서 스모크로더가 갑자기 늘어난 이유는 아직 정확히 밝혀지지 않았다. “공격은 이처럼 과거의 것이라고 해서 줄어들거나 잊어버려도 되는 게 아닙니다. 그러니 항상 최신 공격에 대해 잘 파악하고 있어야 합니다. 어떤 위협요소가 갑자기 등장하거나 부활할지 우리는 예측할 수 없습니다. 그렇다고 누구나 모든 위협에 대한 역사를 외우고 있을 필요는 없고요. 최신화가 가장 간단한 방비책입니다.”
그 외 체크포인트가 뽑은 최고의 10개 위협요소들은 다목적 코드였다. “각종 목적으로 각종 멀웨어를 배포하는 멀웨어들이 최근 큰 위협거리로 떠오르고 있습니다. 예를 들면 이모텟(Emotet)이 대표적이죠. 램닛(Ramnit)도 그렇고요.”
또한 체크포인트는 “10위 목록은 몇 개월 동안 거의 변동이 없다는 걸 기억해야 한다”고 짚어냈다. “기존에 없던 녀석이 갑자기 등장해 10위권으로 치고 들어오는 경우는 거의 없습니다. 공격자들은 같은 수법을 쓰고 또 쓴다는 이야기이고, 우리는 같은 것에 당하고 또 당한다는 뜻입니다.”
3줄 요약
1. 암호화폐 채굴 멀웨어, 수개월 동안 1위 위협요소 자리 굳건히 지킴.
2. 가장 많이 활용되는 취약점은 CVE-2017-7269로, 이미 패치 나온 지 오래된 취약점.
3. 갑자기 일본과 우크라이나 중심으로 스모크로더 증가하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
