상세 컨텐츠

본문 제목

탐지 회피를 위해 다운로드 후 한 달 뒤 설치되는 크립토 마이너 악성 프로그램

국내외 보안동향

by 알 수 없는 사용자 2022. 8. 30. 16:16

본문

2022년 7월 말, 구글 번역과 MP3 다운로더 프로그램 등으로 위장하여 크립토 마이너 악성 프로그램을 배포하는 캠페인이 발견되었습니다.

 

Nitrokod라는 개발자가 제작한 가짜 응용 프로그램은 정상적인 프리웨어 사이트를 통해 배포되기 때문에, 일반 사이트 방문자 및 검색 방문자 모두에게 악성 프로그램이 노출됩니다. 한 악성 소프트웨어의 경우 “구글 번역 데스크톱 다운로드”라는 구글 검색 결과 상단에서도 찾아볼 수 있으며, 정상 프로그램처럼 설명된 기능을 제공하고  있습니다.

[그림 1] “Google Translate Desktop Download” 검색 결과, 상단에 노출되는 악성 프로그램

 

그러나 Check Point에 따르면, 초기 소프트웨어 설치 후에 공격자는 탐지 회피를 위해 의도적으로 악성 프로그램의 구성 요소 설치를 최대 한 달 동안 지연시킨다고 말했습니다. 이를 통해 공격자가 감염 흔적을 제거할 시간을 마련하고, 전 세계적으로 수천 대의 컴퓨터를 감염시키는 데 성공했습니다.

[그림 2] Nitrokod 홈페이지

 

감염 체인

[그림 3] 구글 번역 데스크톱 프로그램을 위장한 악성 프로그램의 감염 체인 (참고 : Check Point)

 

사용자가 웹에서 감염된 프로그램 중 하나를 다운로드하는 것으로 감염 체인이 시작됩니다. Nitrokod 사이트에서 어떤 프로그램을 다운로드했는지와 상관없이 AV 탐지를 회피하며, 선택한 애플리케이션의 이름을 딴 실행 파일이 포함된 RAR을 다운로드합니다. 이후 최종 악성 프로그램이 설치되기에 앞서, update.exe 파일을 포함한 4개의 악성코드가 드롭됩니다. 

 

우선 탐지 회피 및 샌드박스 분석을 방해하기 위해서, 악성 소프트웨어는 감염 5일째에 wget을 통해 가져온 다른 암호화된 RAR 파일에서 드로퍼를 실행합니다. 이후, 소프트웨어는 PowerShell 명령어를 통해 모든 시스템 로그를 지우고, 15일 후에 “intelupdateservice[.]com”에서 암호화된 다른 RAR 파일을 가져옵니다.

 

다음으로 드로퍼는 감염된 시스템에 바이러스 백신 소프트웨어가 있는지 확인하고, 알려진 가상 머신 프로세스 목록을 검색합니다. 이후, 다음 단계에서 드롭될 “nniawsoykfo.exe” 프로그램에 대하여 Windows Defender에 네트워크 연결을 허용하는 방화벽 규칙을 추가합니다.

[그림 4] 방화벽 규칙 추가 (Check Point)

 

최종적으로 악성 프로그램은 XMRig 크립토 마이닝 악성코드와 해당 컨트롤러 및 설정과 관련된 ‘.sys’ 파일을 포함한 다른 RAR 파일을 가져오는 드로퍼를 로드합니다. 이때, 지속성 유지를 위해 매일 악성 프로그램(powermanager.exe)을 시작하도록 스케줄러가 설정됩니다.

 

설치된 크립토 마이닝 악성 프로그램(powermanager.exe)은 감염된 시스템 플랫폼이 데스크톱인지 노트북인지 확인한 다음, C&C 서버(nvidiacenter[.]com)에 연결하여 HTTP POST 요청을 통해 JSON 형식으로 전체 호스트 시스템 보고서를 보냅니다. 이에 C&C 서버는 사용할 CPU 처리량, C2를 다시 ping할 시기, 발견된 경우 종료할 프로그램 등과 같이 제어 지침을 호스트에 응답해 주면서 마이닝 활동이 시작됩니다.

[그림 5] 호스트 세부 정보를 C&C 서버로 전송 (Check Point)

 

예방 및 대응 방법

크립토 마이닝 악성 프로그램은 과열을 통해 하드웨어를 손상시킬 수 있고, CPU 리소스를 사용하여 컴퓨터 성능에 영향을 줄 수 있습니다.

 

따라서, 사용자는 구글 번역 데스크톱 버전과 같이 개발자가 공식적으로 출시하지 않은 기능을 제공하는 애플리케이션을 다운로드하지 않도록 주의해야 합니다.

 

IoC

[ Domain ]

Nitrokod[.]com
Intelserviceupdate[.]com
nvidiacenter[.]com

[ MD5 ]

abe0fb9cd0a6c72b280d15f62e09c776
a3d1702ada15ef384d1c8b2994b0cf2e
668f228c2b2ff54b4f960f7d23cb4737
017781535bdbe116740b6e569657eedf
0cabd67c69355be4b17b0b8a57a9a53c
27d32f245aaae58c1caa52b349bed6fb

 

출처

https://www.bleepingcomputer.com/news/security/windows-malware-delays-coinminer-install-by-a-month-to-evade-detection/

https://research.checkpoint.com/2022/check-point-research-detects-crypto-miner-malware-disguised-as-google-translate-desktop-and-other-legitimate-applications/

 

보안관제센터 MIR Team

저작자표시

'국내외 보안동향' 카테고리의 다른 글

Yanluowang 랜섬웨어 그룹, 소스코드와 내부 채팅 메시지 유출돼  (0) 2022.11.01
USB로 전파되는 라즈베리 로빈, 러시아 해커 집단 이블 코프와 연관돼  (0) 2022.10.04
Yanluowang 랜섬웨어 조직에 의해 해킹된 시스코, 2.8GB 도난  (0) 2022.08.11
대규모 해킹 공격으로 9,000개 이상의 솔라나(solana) 지갑 탈취돼  (0) 2022.08.04
Conti 랜섬웨어가 코스타리카 정부를 공격한 방법 공개돼  (0) 2022.07.22

관련글 더보기

댓글 영역

티스토리툴바