닫기

- 한국산업보안연구학회 로그인 화면입니다. -

닫기

한국산업보안연구학회

한국산업보안연구학회THE KOREAN ASSOCIATION FOR INDUSTRIAL SECUTRITY

학회소식산업보안뉴스

산업보안뉴스

제목 네 가지 암호화폐 관련 공격 진행하는 새 백도어, 크립토시뷸
작성자 관리자 등록일시 2020-09-07 15:07:37
첨부파일
[보안뉴스 문가용 기자] 한 번도 발견되지 않았던 멀웨어 패밀리가 등장했다. 이름은 크립토시뷸(KryptoCibule)이며, 암호화폐와 관련된 세 가지 유형의 공격을 실시할 수 있다고 한다. 보안 업체 이셋(ESET)이 조사한 바, 현재까지 피해자들은 체코와 슬로바키아에서 나타나고 있으며, 주로 해적판 소프트웨어와 영화, 게임 등을 통해 퍼지는 중이다.


[Image= utoimage]

체코어 및 슬로바키아어로 크립토시뷸은 ‘암호화양파’라는 뜻이라고 한다. ‘양파’라는 말은 크립토시뷸이 토르(Tor) 네트워크를 사용하기 때문에 붙여진 것으로 보인다. 크립토시뷸은 토르 네트워크만이 아니라 비트토렌트(BitTorrent) 프로토콜, 트랜스미션(Transmission)이라는 토렌트 클라이언트, 아파치 httpd(Apache httpd), 부루 SFTP(Buru SFTP) 서버를 공격에 활용한다는 특징을 가지고 있다. 타임스탬프 상으로 2018년 12월부터 활동을 시작한 것으로 보인다.

크립토시뷸이 가지고 있는 네 가지 암호화폐 관련 공격 기술은 다음과 같다.
1) 모네로(Monero) 채굴
2) 이더리움(Ethereum) 채굴
3) 암호화폐 지갑 주소를 클립보드에서 바꿔치기 함으로써 송금을 엉뚱한 곳으로 유도하기
4) 암호화폐와 관련된 파일들 훔치기

또한 크립토시뷸은 몇 가지 오픈소스 도구를 활용하기도 한다.
1) XM리그(XMRig) : CPU를 활용해 모네로를 채굴하는 오픈소스 도구
2) 카우파우마이너(kawpowminer) : GPU를 활용해 이더리움을 채굴하는 오픈소스 도구
3) 토르 : 1)과 2)를 채굴 서버에 연결할 때 토르 프록시를 활용한다

“크립토시뷸은 제일 먼저 장비의 배터리 상태와 최종 사용자 입력 시간을 확인합니다. 그리고 이를 바탕으로 주요 프로세스를 시작하거나 멈추죠. 만약 사용자가 3분 동안 아무런 입력 행위를 하지 않았고, 배터리가 30% 이상 있다면 GPU와 CPU를 무한정으로 돌립니다. 그 외의 상태라면 GPU는 발동시키지 않고 CPU만 제한적으로 이용해 채굴합니다. 배터리가 10% 미만이라면 채굴을 하지 않습니다.” 이셋 분석 보고서의 내용이다.

그러는 동안 클립보드 조작 요소는 계속해서 시스템 클립보드를 주시한다. 거래 행위가 발생하는 듯하면 클립보드에 저장된 암호화폐 지갑 주소를 공격자의 지갑 주소로 바꾼다. 이 방식으로 공격자들이 훔쳐낸 돈은 현재까지 1800 달러 정도 된다고 한다. 이 방식을 활용한 공격자들의 수익은 그리 높지 않은 것으로 보인다. 그 외에도 몇 가지 키워드를 사용해 파일시스템을 검색함으로써 특정 파일을 찾아 SFTP 서버를 통해 유출시키는 기능도 탐지됐다. 주로 암호화폐나 블록체인과 관련된 것들이다.

크립토시뷸에는 RAT 기능도 있다. 크립토시뷸 운영자들을 위한 백도어가 심기고, 이를 통해 운영자들이 임의의 명령을 실행시킬 수 있다는 것이다. 공격자들은 이를 통해 파워셸 스크립트와 추가 페이로드 등을 심을 수 있다. 이 RAT 요소와 통신할 때는 비트토렌트 프로토콜이 활용된다.

피해자가 불법 소프트웨어나 콘텐츠를 다운로드 받아 크립토시뷸에 감염된 설치 파일을 실행시키면, 시스템 감염, 즉 크립토시뷸의 발동은 배경에서 발생한다. 화면에는 피해자가 예상하고 있는 소프트웨어가 설치되거나 콘텐츠가 재생된다. 크립토시뷸은 C&C 서버와의 모든 통신을 토르 네트워크를 통해 진행한다. 크립토시뷸이 최초로 실행될 때, 호스트는 해당 크립토시뷸에 고유 식별자를 부여한다. 이 식별자 번호는 통신에 있어서 지속적으로 활용된다.

크립토시뷸은 방화벽 규칙도 생성해 공격에 활용되는 트래픽에 합법적인 이름들을 붙이고 보호한다. 동시에 이셋, 어베스트(Avast), AVG 제품이 있는지 확인한다. 모두 체코와 슬로바키아에 본사를 두고 있는 회사에서 만든 제품들이다. 공격 대상이 주로 체코인과 슬로바키아인들이라는 것과 겹치는 부분이다. 즉 공격자들이 현재까지는 공격의 표적들을 제한하고 있다는 뜻이다. 탐지되는 것을 극도로 우려한 것처럼 보인다.

“크립토시뷸은 2018년부터 공격 행위를 진행해 온 멀웨어로, 아직까지 왕성하면서도 조심스러운 활동을 이어가고 있습니다. 공격 범위를 좁게 유지한 덕에 아직까지 큰 관심을 받지 못했고, 이것이 공격자들의 의도인 것으로 보입니다. 또한 오픈소스 도구들과 합법적인 플랫폼을 적극 활용하고 있다는 것도 탐지가 잘 안 된 비결입니다. 하지만 계속해서 새로운 버전이 나오고 있고, 새로운 기능이 탑재되는 걸로 봐서 개발자들이 꾸준히 업그레이드 시키고 있다는 것을 알 수 있습니다.” 이셋 측의 결론이다.

[국제부 문가용 기자(globoan@boannews.com)]

출처: https://www.boannews.com/media/view.asp?idx=90917&page=1&mkind=1&kind=




이전글  ▲ 한국산업보안연구학회, '2020 산업보안 논문경진대회' 개최
다음글  ▼ "한곳만 뚫려도 시스템 마비"…스마트공장, 해커 공격에 무방비
닫기