갑작스럽게 많아진 가상화폐 마이너. 이유는?

malwares.com 코드분석팀 분석 자료

<부제 : 내 컴퓨터로 가상화폐를 어떻게 채굴해? >

1. 개요

2017년은 랜섬웨어의 해였다고 볼 수 있을 정도로 강세였다. 하반기로 갈수록 비트코인 등 가상화폐의 관심이 높아지면서 이를 노린 가상화폐 마이너들이 급격히 증가했다.

[ 그림 1. 가상화폐 마이너의 급격한 증가 그래프 ]

관련 기사 보러가기 : [보안뉴스] 가상화폐 광풍이 불러온 '채굴 악성코드'의 진화

이번에 분석한 악성코드 또한 가상화폐 마이너로 사용자 PC의 리소스를 사용해 특정 가상화폐를 채굴하는 기능을 가지고 있는 것으로 나타났다. 상세한 분석을 통해서 어떻게 채굴하는지 알아보자. 

관련 기사 보러가기 : [아이뉴스24] 비트코인 악성코드 10월 기점 "폭발적 증가"

2. 가상화폐 "모네로"

분석 대상 샘플은 가상화폐 중 '모네로'를 채굴하기 위한 프로그램으로 채굴 프로그램 자체는 깃허브를 통해 공식 배포되는 정상 프로그램이다. 하지만 가상화폐의 특성상 채굴 프로그램의 소스코드가 공개되어 있어 이를 악용한 것이며 지난 12월에 포스팅한 '페이스북 메신저를 통한 배포한 악성코드' 또한 '모네로' 채굴기를 배포하는 등 악성코드 제작자가 많이 이용하는 것을 알 수 있다. 

다른 가상화폐 보다 '모네로'를 대상으로 하는 가장 큰 이유는 블록체인 기반의 다른 가상화폐와 다르게 거래 정보를 추적하기 어렵다는데 있다.

분석정보 보러가기 : 페이스북 메신저를 통해 배포한 악성코드

3. 분석 정보

[ 그림 2. 샘플의 코드 ]

프로그램에 인자를 주지않아 바로 종료가 되며, 인자들에 대한 출력이 이루어진다. 인자는 아래와 같다.

-a, --algo=ALGO cryptonight (default) or cryptonight-lite -o, --url=URL URL of mining server -O, --userpass=U:P username:password pair for mining server -u, --user=USERNAME username for mining server -p, --pass=PASSWORD password for mining server -t, --threads=N number of miner threads -v, --av=N algorithm variation, 0 auto select -k, --keepalive send keepalived for prevent timeout (need pool support) -r, --retries=N number of times to retry before switch to backup server (default: 5) -R, --retry-pause=N time to pause between retries (default: 5) --cpu-affinity set process affinity to CPU core(s), mask 0x3 for cores 0 and 1 --cpu-priority set process priority (0 idle, 2 normal to 5 highest) --no-huge-pages disable huge pages support --no-color disable colored output --donate-level=N donate level, default 5% (5 minutes in 100 minutes) --user-agent set custom user-agent string for pool -B, --background run the miner in the background -c, --config=FILE load a JSON-format configuration file -l, --log-file=FILE log all output to a file --max-cpu-usage=N maximum CPU usage for automatic threads mode (default 75) --safe safe adjust threads and av settings for current CPU --nicehash enable nicehash/xmrig-proxy support --print-time=N print hashrate report every N seconds --api-port=N port for the miner API --api-access-token=T access token for API --api-worker-id=ID custom worker-id for API -h, --help display this help and exit -V, --version output version information and exit

 [ 표1. 인자 리스트 (출처 깃허브) ]

여기까지만 보아도 이 프로그램은 채굴 프로그램이라는 느낌을 받을 수 있으나, 이걸 이용해서 어떠한 악성 동작을 하는지 살펴보아야 했다.

[ 그림 3. malwares.com 행위 분석 ]

■공격자 이메일: tk212008@gmail.com

■마이닝 허브: xmr.pool.minergate.com:45560

분석 샘플의 해쉬를 malwares.com에 조회한 결과 샘플에 인자를 주고 실행을 하는 파일의 수집 이력이 있었다. 행위분석까지 완료돼 공격자의 이메일 등 연관 정보를 얻어낼 수 있었다.

마이닝 허브란 여러 PC에서 채굴을 하면서 하나의 저장소로 전송시킬 수 있는 서비스이다. 허브 관리자는 소액의 수수료를 받으며 서비스를 제공한다.

허브의 서브도메인과 파일명으로 해당 샘플은 가상화폐 '모네로'를 채굴하는 마이너 악성코드임을 알 수 있다. 모네로는 코인의 추적이 어려워 악성코드 제작자와 해커들에게 많이 이용된다.

[ 그림 4. 샘플의 버전 ]

모네로 채굴기는 오픈소스 형태로 공개되어 있고, 분석 샘플에 이용된 버전은 “2.4.3“ 버전인것을 바이너리를 통해 알아냈다.

[ 그림 5. 모네로 마이너 (출처 깃허브) ]

바이너리를 통해 알아낸 2.4.3 버전은 2017년 말에 업데이트된 최신 채굴기였고, 가상화폐가 다시 화두가 되자 새로이 제작된 마이너 악성코드로 추정된다. 공개된 소스를 살펴보면 바이너리의 코드와 매우 유사하다.  완전히 동일한 파일이고, 악성코드 제작자는 오픈소스를 가져다가 사용했다고 결론을 내렸다. 

4. C2 SERVER

[ 그림 6. malwares.com 조회 이력 ]

malwares.com를 통해 파일 유포 주소를 조회하면 홍콩인 것으로 확인된다. 모든 샘플이 악성으로 나오고 있으며 현재도 동작중인 C2 서버이므로 사용자들의 주의가 필요하다.

5. 파일 정보

해쉬	A5A6D81B593FECC0768C249AAC79183938F7456B08FB8D43AFE5D63DE6535283
파일크기	1,018,880 Bytes
유입파일명	xmrig.exe
태그	exe_32bit, peexe, bitminer, coinminer, riskware
주요동작	연산
초기감염방법	다운로드 추정
재실행방법	서비스
네트워크연결	http://52wan.ml:5521 , xmr.pool.minergate.com:45560