전체상품목록 바로가기

본문 바로가기

 
신규가입 3,000P 지급
현재 위치
  2. 게시판
  3. 뉴스/이벤트

뉴스/이벤트

 

게시판 상세
제목 [AhnLab] 파일리스 방식과 SMB 취약점 이용한 채굴 악성코드, 주의!
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2019-09-19
  • 추천 추천하기
  • 조회수 525

가상화폐(Cryptocurrency, 암호화폐) 채굴 악성코드가 잇따라 유포되고 있는 가운데, 최근 더욱 교묘한 기술을 이용한 채굴 악성코드가 확인됐다. 이 채굴 악성코드는 2017년 전 세계를 강타했던 워너크라이(WannaCry) 랜섬웨어가 이용한 이터널블루(EternalBlue) SMB 취약점을 이용하고 있어 워너마인(WannaMine)으로 불리며, 내부 확산의 가능성이 높아 특히 기업의 각별한 주의가 요구된다.

 


 

 

워너마인 악성코드는 가상화폐 채굴 악성코드(Coin Miner)로, 파일리스(Fileless) 방식으로 동작한다. 또한 SMB 취약점과 WMI(Windows Management Instrumentation), ADMIN$ 공유 폴더 등을 통해 확산되며, SMB를 통한 원격지 서비스 등록 및 구동하는 방식을 사용하는 것이 확인됐다. [그림 1]은 워너마인 악성코드의 내부 확산 과정을 요약한 것이다.

 

  

[그림 1] 워너마인 악성코드 내부 확산 과정

 

[그림 1]과 같이 처음 감염된 시스템에서 시스템 업데이트 파일로 위장한 sysupdater0.bat 파일이 실행되면 해당 시스템의 운영체제를 확인한다. 이때 윈도우 Vista 이상이면 파워쉘 스크립트를 추가로 다운로드한다. 만일 최초 감염 시스템의 운영체제가 윈도우 XP일 경우, 파워쉘을 사용할 수 없기 때문에 VB 스크립트 파일(*.vbs)을 다운받아 cscript.exe 파일을 통해 실행한다.

 

이렇게 실행된 스크립트들은 내부에 인코딩(Encoding)된 채굴 기능과 함께 미미카즈(Mimikaz) 해킹툴, 이터널블루(EternalBlue) 쉘코드(MS17-010)를 실행해 악의적인 기능을 수행하고, 다른 시스템으로의 감염 확산을 시도한다. 윈도우 Vista 이상인 시스템의 경우, 다운로드된 파워쉘 스크립트가 ‘DownloadString’ 함수를 사용하여 파일리스(Fileless) 형태로 동작한다. 이때 특정 포트로 통신하는 프로세스가 있을 경우, 파워쉘 프로세스를 종료한다. 이 밖에도 채굴 중 시스템이 종료되는 것을 방지하기 위해 감염 시스템을 절전 모드로 변경한다.

 

다양한 방식으로 내부 확산 시도

워너마인 악성코드는 감염된 pc의 의 네트워크 어댑터 설정을 확인하여 현재 IP 주소와 서브넷 마스크를 기준으로 랜덤한 IP에 전파 기능을 수행한다. 이때 원격 PC에 연결된 포트에 따라 ▲WM를 이용해 원격 프로세스를 실행하거나 ▲SMB 프로토콜을 이용해 서비스를 생성하는 등 다양한 방식을 통해 내부 감염 확산을 시도한다.

 

워너마인 악성코드의 내부 확산 방식에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.

► ASEC 블로그 바로가기

 

특히 워너마인 악성코드는 이터널블루 취약점을 통해 악성코드 내부 전파를 시도한다. 이터널블루 취약점 이용이 성공하면, 감염된 시스템의 운영체제에 따라 악성 파워쉘 스크립트가 파일리스 방식으로 다운로드 및 실행된다.

 


[그림 2] 이터널블루 패킷(왼쪽)과 내부 쉘코드(오른쪽)

 

[그림 2]는 워너마인의 이터널블루 취약점 공격 시도 시 확인되는 패킷과 패킷 내부의 쉘코드이다. 이터널블루 SMB 취약점은 지난 2017년 전 세계를 충격에 빠뜨리 워너크라이 랜섬웨어 확산에 사용된 이후 공격자들이 지속적으로 사용하고 있다. 국내에서는 지난해 6월 POS 장비의 인터넷을 마비시킨 악성코드 공격에 이용된 바 있으며, 올해 2월에도 국내 POS 장비에 채굴 악성코드를 확산하는데 사용되었다.

 

이미 오래 전에 관련 보안 업데이트가 배포되었음에도 불구하고 여전히 이터널블루 SMB 취약점을 이용한 공격이 계속된다는 것은 해당 업데이트를 적용하지 않은 시스템이 많다는 의미로 이해할 수 있다. 기업의 경우, 사내 패치 관리에 더욱 각별한 주의가 필요한 지점이다.

 

이터널블루 취약점 외에 WMI, ADMIN$ 공유 폴더, 원격지 서비스 등록 등은 윈도우 시스템의 정상적인 기능이다. 따라서 관련 네트워크 패킷만으로는 이것이 악의적인 행위인지 정상적인 것인 것 판별하기가 쉽지 않다. 따라서 기업 보안 관리자는 SMB, WMI 프로토콜이 악용되지 않도록 기본 포트를 변경하거나 해당 서비스들을 비활성화시키는 방안도 고려할 필요가 있다.

 

한편, V3 제품군에서는 파일리스 방식의 워너마인 악성코드를 다음과 같은 진단명으로 탐지하고 있으며, [그림 3]과 같이 행위 진단을 통한 알림창을 제공하고 있다.

 

<V3 제품군 진단명>

- BAT/Downloader

- VBS/Downloader

- Script/Powershell

 

  

[그림 3] V3 제품군의 행위 기반 탐지 알림창​

첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
스팸신고 스팸해제 목록 삭제 수정 답변
댓글 수정

비밀번호 :

수정 취소

/ byte

비밀번호 : 확인 취소

HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

02-716-1915

FAX : 02-716-1917
MAIL : sales@softinfo.co.kr
MONDAY - FRIDAY AM 10 - PM 6
LUNCH 12:00 - 13:00
WEEKEND, HOLIDAY OFF

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

COMPANY : (주)소프트정보서비스        OWNER : 박양근       CALL : 02-716-1915        ADRESS : 04376 서울특별시 용산구 한강대로 109 (한강로2가) 용성비즈텔 802호       
BUSINESS NUMBER : 106-81-80499 [사업자정보확인]        SHOPPINGMALL ORDER LICENSE : 제2004-서울용산-03126호 [사업자정보확인]
E-MAIL : sales@softinfo.co.kr

Copyright(c) (주)소프트정보서비스 all rights reserved.        호스팅제공자 : (주)카페24

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close