시스템 프로세스 두 개 만들고, 삭제 시도 발견 시 시스템 마비시켜
어베스트나 카스퍼스키 등 유명 백신 나타나면 행동 멈춰
[보안뉴스 문가용 기자] 새로운 암호화폐 채굴 코드인 WinstarNssMMiner가 발견됐다. 채굴 행위를 사용자가 발견하고 종료시키려고 하면 컴퓨터를 마비시킨다고 한다. 컴퓨터 전문가가 아니라면 제거가 여간 어려운 것이 아니다.
[이미지 = iclickart]
이는 보안 업체 치후 360(Qihoo 360)이 발견한 것으로, 치후 측은 5월 16일자 블로그 포스트를 통해 이 멀웨어의 존재에 대해 알렸다. 현재까지 WinstarNssMMiner 운영자들이 벌어들인 수익은 133 모네로라고 한다. 이는 약 26500 달러에 해당하는 금액이다. 또한 3일 만에 약 50만 번의 공격 시도를 발견했을 정도로 공격자들이 광범위한 캠페인을 벌이고 있는 중이기도 하다.
WinstarNssMMiner는 오픈소스 채굴 코드인 XMRig를 기본으로 하고 있으며 두 개의 svchost.exe 시스템 프로세스를 만드는 것을 특징으로 하고 있다. 한 개는 채굴을 실시하기 위한 프로세스고 다른 하나는 백신 제품의 탐지를 피하기 위한 것이다.
하지만 가장 악질적인 건, WinstarNssMMiner를 제거하려고 하는 순간 악성 코드를 한 개의 svchost.exe 프로세스에 주입하고 특성을 CriticalProcess로 바꿈으로써 시스템이 마비되도록 하는 것이다. “이렇게까지 공격적이고 파괴적인 채굴 코드는 처음 봤습니다.” 치후 360의 반응이다.
WinstarNssMMiner 채굴 코드는 일반 멀웨어와 크게 다른 점을 보인다. “일반적으로 멀웨어라고 하면 최대한 들키지 않고 오랫동안 침투한 시스템에 남아 있으려고 합니다. 또한 지우려고 할 때마다 시스템을 마비시키는 행동은 하지 않았어요. 적어도 여태까지의 사이버 범죄자들은 그렇게까지 발악하는 걸 싫어했거든요. 이제 이런 수법이 유행이 될까봐 진지하게 걱정됩니다.” 보안 업체 와치가드(WatchGuard)의 보안 전문가인 마크 랄리버트(Marc Laliberte)의 설명이다.
“만약 치명적인 프로세스(CriticalProcess) 장난질을 흉내 내는 멀웨어들이 계속해서 등장한다면 아마 MS가 해당 프로세스의 원리를 통째로 바꿀 수밖에 없을 겁니다. 예상하기로는 특정 프로세스를 ‘치명적’이라고 판단할 수 있는 주체나 계정의 권한을 높일 것으로 보입니다. 즉 권한이 높아져야만 프로세스를 치명적이라고 판단하고 시스템을 종료시킬 수 있도록 만들지 않을까 합니다.”
WinstarNssMMiner의 유별난 특징은 이것만이 아니다. 어베스트나 카스퍼스키 등 유명 백신이 시스템에 설치되어 있는지 확인하고, 있으면 행동을 멈춘다. 그러나 이렇게까지 유명하지 않은 백신이 탐지될 경우, 이를 속이기 위한 작업을 실시한다. 즉 만만한 건 대충 속여가며 채굴 작업하고, 유명하고 성능이 좋은 건 그냥 회피한다는 것이다.
“또 하나 주목해야 할 건 단 3일 만에 50만 대의 컴퓨터를 감염시켰거나, 감염 시도 했다는 겁니다. 공격자들이 트래픽이 높은 웹사이트와 광고, 공공 와이파이 망을 적극적으로 노린 것으로 보입니다. 그게 아니라면 윈도우의 특정 취약점을 익스플로잇하는 기능을 가지고 있거나요.”
감염 경로나 코드 내용 등 아직 분석해야 할 것이 더 남아있긴 하지만 치후 360은 “채굴 코드 작성자들이 보다 공격적인 면모를 띄고 있다는 건 확실하다”고 경고한다. “앞으로 더 많은 채굴 행위들이 발견될 것만이 아니라, 더 많은 시스템을 망가트리거나 마비시키는 행위가 동반될 것으로 예상됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]
어베스트나 카스퍼스키 등 유명 백신 나타나면 행동 멈춰
[보안뉴스 문가용 기자] 새로운 암호화폐 채굴 코드인 WinstarNssMMiner가 발견됐다. 채굴 행위를 사용자가 발견하고 종료시키려고 하면 컴퓨터를 마비시킨다고 한다. 컴퓨터 전문가가 아니라면 제거가 여간 어려운 것이 아니다.
[이미지 = iclickart]
이는 보안 업체 치후 360(Qihoo 360)이 발견한 것으로, 치후 측은 5월 16일자 블로그 포스트를 통해 이 멀웨어의 존재에 대해 알렸다. 현재까지 WinstarNssMMiner 운영자들이 벌어들인 수익은 133 모네로라고 한다. 이는 약 26500 달러에 해당하는 금액이다. 또한 3일 만에 약 50만 번의 공격 시도를 발견했을 정도로 공격자들이 광범위한 캠페인을 벌이고 있는 중이기도 하다.
WinstarNssMMiner는 오픈소스 채굴 코드인 XMRig를 기본으로 하고 있으며 두 개의 svchost.exe 시스템 프로세스를 만드는 것을 특징으로 하고 있다. 한 개는 채굴을 실시하기 위한 프로세스고 다른 하나는 백신 제품의 탐지를 피하기 위한 것이다.
하지만 가장 악질적인 건, WinstarNssMMiner를 제거하려고 하는 순간 악성 코드를 한 개의 svchost.exe 프로세스에 주입하고 특성을 CriticalProcess로 바꿈으로써 시스템이 마비되도록 하는 것이다. “이렇게까지 공격적이고 파괴적인 채굴 코드는 처음 봤습니다.” 치후 360의 반응이다.
WinstarNssMMiner 채굴 코드는 일반 멀웨어와 크게 다른 점을 보인다. “일반적으로 멀웨어라고 하면 최대한 들키지 않고 오랫동안 침투한 시스템에 남아 있으려고 합니다. 또한 지우려고 할 때마다 시스템을 마비시키는 행동은 하지 않았어요. 적어도 여태까지의 사이버 범죄자들은 그렇게까지 발악하는 걸 싫어했거든요. 이제 이런 수법이 유행이 될까봐 진지하게 걱정됩니다.” 보안 업체 와치가드(WatchGuard)의 보안 전문가인 마크 랄리버트(Marc Laliberte)의 설명이다.
“만약 치명적인 프로세스(CriticalProcess) 장난질을 흉내 내는 멀웨어들이 계속해서 등장한다면 아마 MS가 해당 프로세스의 원리를 통째로 바꿀 수밖에 없을 겁니다. 예상하기로는 특정 프로세스를 ‘치명적’이라고 판단할 수 있는 주체나 계정의 권한을 높일 것으로 보입니다. 즉 권한이 높아져야만 프로세스를 치명적이라고 판단하고 시스템을 종료시킬 수 있도록 만들지 않을까 합니다.”
WinstarNssMMiner의 유별난 특징은 이것만이 아니다. 어베스트나 카스퍼스키 등 유명 백신이 시스템에 설치되어 있는지 확인하고, 있으면 행동을 멈춘다. 그러나 이렇게까지 유명하지 않은 백신이 탐지될 경우, 이를 속이기 위한 작업을 실시한다. 즉 만만한 건 대충 속여가며 채굴 작업하고, 유명하고 성능이 좋은 건 그냥 회피한다는 것이다.
“또 하나 주목해야 할 건 단 3일 만에 50만 대의 컴퓨터를 감염시켰거나, 감염 시도 했다는 겁니다. 공격자들이 트래픽이 높은 웹사이트와 광고, 공공 와이파이 망을 적극적으로 노린 것으로 보입니다. 그게 아니라면 윈도우의 특정 취약점을 익스플로잇하는 기능을 가지고 있거나요.”
감염 경로나 코드 내용 등 아직 분석해야 할 것이 더 남아있긴 하지만 치후 360은 “채굴 코드 작성자들이 보다 공격적인 면모를 띄고 있다는 건 확실하다”고 경고한다. “앞으로 더 많은 채굴 행위들이 발견될 것만이 아니라, 더 많은 시스템을 망가트리거나 마비시키는 행위가 동반될 것으로 예상됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
