보안정보

MinerMoneroVenusLocker

VenusLocker 악성코드, Monero Miner 변종으로 등장

침해사고분석팀 2018.01.16

 

 

2017년 초부터 국내 기업을 표적으로 한 VenusLocker 랜섬웨어가 유포되었습니다. 이 랜섬웨어가 이슈가 된 이유는 국내를 타겟으로 삼은 랜섬웨어라는 점과 .lnk 확장자를 통해 악성코드를 자동으로 실행되도록 하는 방식을 사용하였기 때문입니다.

 

 

일단 국내를 타겟으로 했다는 근거로는 이메일, 파일명 등 모두 한국어로 제작되어 있다는 점입니다. 물론 북한을 타겟으로 만들어진 악성코드일 수도 있으나 그 의견보다는 우리나라를 목적으로 제작되었다는 점이 더 신빙성 있는 의견일 것입니다.

 

이러한 방식이 최근 Miner 악성코드에도 도입이 되어 유포되고 있습니다. VenusLocker 개발자가 업종을 변경한 것인지 아니면 그 누군가가 해당 방식을 따라해 유포했는지 알 수 없지만 동일한 방식이라는 점은 변함이 없습니다.

 

 

 

해커에게 Link 파일의 장점은 무엇일까?

기본적으로 .lnk 확장자는 폴더에서 확장자가 보이지 않습니다. 아래의 그림은 실제 VenusLocker Miner 샘플로 파일의 유형은 바로가기 (Link) 이지만 실제 이름에는 jpg, doc 확장자 파일인 것처럼 보입니다.

 

 

[그림] 폴더 내 Link 파일

 

 

 

해당 Miner 악성코드가 VenusLocker의 타이틀이 붙게되는 이유가 오직 link 파일을 사용한 방식이 똑같아서만은 아닙니다. VenusLocker 랜섬웨어 Link 파일 내부에서 발견된 문자열이 동일하게 발견된 이유가 있기 때문입니다.

 

 

[그림] VenusLocker_Korean.exe

 

 

 

실제 파일을 살펴보면 microsoft.exe 파일을 실행하는 Link가 삽입되어 있습니다.

 

[그림] Link 파일 대상

 

 

 

파일 내 5개의 파일 중 어떤 것을 클릭하더라도 최종 실행 파일은 'Microsoft.exe' 가 될 것입니다.

 

 

 

Monero Miner

파일명: microsoft.exe
MD5: 8190593cdcf6589813c0ce542480d0b3
SHA245: 553ffa187b62baad1b85b13ca726dc4dc9ca32ddd3108b742ab7909218380c46
크기: 1,144,832 Byte
행위: Miner

 

 

 

Monero Miner 악성코드에서 제일 많이 발견되는 것은 XMRig 지원 툴입니다. 접근성 및 활용도가 뛰어나 자주 사용됩니다.

 

일 내부 기능은 아래와 같으며, 기능들의 사용여부는 Config data 에 의해 결정됩니다.

 

[그림] Config List

 

1. Disable

 - 작업관리자
 - 사용자 계정 컨트롤
 - 레지스트리 편집기
 - 명령 프롬프트

 

해당 기능을 비활성화하여 악성코드 실행 시 동작하는 설정들을 사용자가 수정 및 삭제하는 것을 방지합니다.

 

 

[그림] disable List

 

 

 

2. Anti VM

 - vmware 환경 확인
 - SanBoxie 환경 확인

 - Emulation 프로세스 확인

 - Wireshark 프로세스 확인

 - Fiddler 프로세스 확인

 - Wpe 프로세스 확인

 

 

상기 악성코드는 안티 기능을 가지고 있으며, 해당 기능은 분석 환경에서의 파일 실행 여부를 판단합니다.

 

 

[그림] VM VideoController 확인

 

 

 

3. Injection

상기 악성코드는 총 2번의 Injection을 진행하게 되며 각각 행위가 다릅니다. 행위는 다음 아래와 같습니다.

 

3.1. 첫번째 Injection
 - vbc.exe
 - RegAsm.exe
 - AppLaunch.exe
 - svchost.exe
 - notepad.exe

 - Current Process

 

첫 번째 Injection에서는 위 목록 중 하나의 프로세스에 Inejction 후 Mymonero.exe 파일 생성 및 자동실행레지스트리 추가를 수행합니다. (프로세스 선정은 Config List에 명시되어 있습니다.)

 

 

[그림] 레지스트리 편집기 Miner 등록

 

 

3.2. 두번째 Injection

 - notepad.exe

 - explorer.exe

 - System32wuapp.exe

 - System32svchost.exe

 - SysWOW64wuapp.exe

 - SysWOW64svchost.exe

 

두 번째 Injection은 실제 Miner 행위를 수행하며, 위 프로세스 중 Windows OS bit에 따라 달라집니다.

 

 

[그림] Monero XMRig Option

 

 

ID: 46Zec4TjZeveekX4NdqdedURbjC7YitGn7sY4gQBcCCvEC3wVRrHPf7AZmammrpyfcAp38

    33PfzAf2igq2fRDzLnU3ejx8g

URL: monerohash:com:3333

 

 

 

[그림] Minerhash.com 통신 (Port 3333) - 1

 

 

[그림] Minerhash.com 통신 (Port 3333) - 2

 

 

[그림] Miner CPU 활용

 

 

 

 

우리는 항상 최신 백신과 소프트웨어 업데이트로 PC를 보호하며,

신뢰하지 못하는 메일의 첨부파일은 절대로 다운로드 및 실행하지 않도록 해야합니다.

 

 

 

[Sniper IPS]

 - [3974] Win32/Miner.Monero.Connection.A

 

[Sniper UTM]

 - [838861360] Win32/Miner.Monero.Connection.A

 

[Sniper APTX]

 - [3183] Win32/Miner.Monero.Connection.A

 

 

 
목록