꿈을꾸는 파랑새

오늘은 사용자 컴퓨터를 비트코인 채굴에 이용하는 악성코드인 BitCoin Miner에 대해 알아보는 시간을 가져 보겠습니다.비트코인(bitcoin)이라는것은 2009년1월 3일 사토시 나카모토가 개발한 세계 최초의 암호화폐입니다.

XBT 또는 BTC로 알려줘 있습니다. 일단 비트코인은 우리가 사용하는 화폐와 다르게 특정한 정부나 중앙은행, 금융기관의 개입이 없이 P2P 방법으로 안전하게 가능하면 유통량은 금처럼 한정돼 있습니다. 즉 비트코인이라는 것은 돈을 발행하는 중앙은행이라는 것이 없고 컴퓨터에 있는 CPU, GPU을 이용을 해서 암호화 문제를 풀며 비트코인이 일정 한량이 채굴될 수가 있게 돼 있으며 많은 컴퓨터가 문제를 풀수록 문제의 난이도가 높아져서 비트코인의 시스템의 보안이 강화됩니다.

즉 비트코인 채굴은 기존에 우리가 일상생활에서 사용을 돈을 관리하는 중앙은행처럼 통화의 공급과 거래의 보증을 책임을 지는 역할을 하면 채굴이라는 것은 네트워크를 통해 서서 P2P 방식으로 이루어지며 어느 국가에서 통제할 수가 없는 것이 특징이며 채굴과정에서 CPU,GPU를 병렬로 구성하여서 비트코인을 채굴을 하기도 합니다.

물론 전기요금은 어마하므로 가끔 뉴스에서 농업용 전기등을 이용하여 하우스에서 비트코인을 채굴을 하다가 경찰에 검거되었다는 소식도 가끔 나오면 익명성이 있기 때문에 정상적인 화폐거래가 아닌 무기 거래, 성매매, 마약 거래, 탈세 등에 악용이 되고 최근에는 랜섬웨어에서는 악성코드를 제작해서 컴퓨터 파일 또는 MBR를 암호화해서 가상화폐인 비트코인을 요구하기도 합니다.

그리고 비트코인을 우리가 사용하는 현금화하기 위해서 비트코인을 실제 화폐로 교환해 주는 비트코인 거래소를 거쳐야 하면 그리고 전 세계의 국가 대부분에서는 앞서 이야기한 부정적으로 사용되는 것을 막으려고 거래소 이용자의 실명 확인을 강제하고 있습니다.

즉 이런 가상화폐를 채굴하기 위해서 BitCoin Miner 같은 악성코드도 등장했습니다. 물론 현재 백신프로그램에서는 탐지하고 있습니다. 일단 해당 BitCoin Miner 는 WMI 및 NSA에서 유출된 EternalBlue를 사용을 하여서 컴퓨터를 악성코드를 감염시킵니다. 일단 해당 악성코드는 아시아태평양지역을 목표로 하는 악성코드입니다. 일단 기본적으로 WMI (Windows Management Instrumentation)를 사용을 하면 scrcons.exe를 사용해서 악성스크립트를 실행합니다. 그리고 EternalBlue를 사용을 해서 MS17-010 취약점을 사용합니다. WMI 스크립트를 설치하는 시스템을 설치하는 시스템인 BKDR_FORSHARE.A에서 백도어를 삭제를 하고 실행이 되면 해당 스크립트는 정해진 스크립트는 C&C 서버에 연결하여서 cryptocurrency miner를 악성코드와 함께 다운로드 합니다. 그리고 같은 루트, 구독 클래스는 특정 조건이 충족되며 악의적인 WMI 스크립트를 트리거 하는 데 사용이 됩니다.
ActiveScriptEventConsumer
EventFilter
IntervalTimerInstruction
AbsoluteTimerInstruction
 FilterToConsumerBinding

그리고 ActiveScriptEventConsumer는 조건이 충족될떄 실행을 할 때 명령을 포함하는 지속성 페이로드입니다. JScript를 실행을 하고 C&C 서버를 사용해서 악성코드를 업데이트 하게 이용을 합니다. EventFilter는 이벤트를 트리거를 진행이 되면 select * from __timerevent where timerid = fuckyoumm2_itimer가 포함돼 있으며 fuckyoumm2_itimer이라는 타이머 ID를 찾습니다.
그리고 IntervalBetweenEvents는 EventFilter 조건이 uckyoumm2_itimer의 고요한 이름이 있으며 IntervalBetweenEvents는 10,800,000밀리 초마다 악성코드를 트리거를 시도합니다.AbsoluteTimerInstruction는 모든 클래스와 인스턴스가 서로 연결이 되도록 연결이 됩니다. 마지막으로FilterToConsumerBinding는 __ActiveScriptEventConsumer 인스턴스와 __EventFilter 인스턴스를 연결합니다.

즉 실행이 되면 악성코드를 감염된 컴퓨터는 CPU,GPU 및 기타 리소스를 사용을 하여 암호화를 통해서 해당 컴퓨터는 악성코드에 의해서 자신의 컴퓨터는 과부하가 걸리면 악성코드 제작자의 비트코인 채굴에 이용됩니다.

해결방법은 WMI 서비스를 해제하고 그리고 나서 SMB를 사용을 하지 않는다면 해당 서비스들을 해제하면 되고 그리고 기본적으로 윈도우 업데이트는 최신으로 유지하면 그리고 윈도우 XP,윈도우 비스타같이 기술 지원이 중단된 운영체제는 사용하지 말고 그리고 토렌트 같은 곳이나 기타 출처가 불분명한 사이트에서 파일을 다운로드 하고 실행을 하는 것을 하지 말아야 합니다.


728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band