본문 바로가기

5. 방학 활동/보고서 분석

[2021.02.11] 2회차 - 크립토재킹(CryptoJacking)

[KISA 연구보고서] "임베디드 리눅스 기반 IoT 기기 악성코드 분석 기술 연구"

 

 

크립토재킹(CryptoJacking)

 

 크립토재킹의 개념은 개인기기를 해킹해서 가상화폐 채굴에 악용하는 악성코드이며,가상화폐와 함께 이슈가 되고 있는 악성코드이다. 대부분 가상화폐의 경우,암호화된 문자열을 제시한다. 가장 먼저 해독한 사용자에게 가상화폐를 제공한다.

아래의 프로세스는 비트코인의 채굴 과정을 정리한 것이다.

 

<비트코인의 채굴 과정 정리>

  1. “8a3a41b85b8b29ad444def299fee21793cd8b9e567eab02cd81” 암호값이 주어진다.  
  2. 채굴자는 ‘무작위 대입법’ 으로 암호화 값을 해독한다.
  3. 해독 대가로 채굴자는 비트코인을 얻는다. 

 

가. 크립토재킹 원리

  1.  공격자는 악성코드를 시스템의 취약점을 통해 침투한 후 실행 및 유포한다.
  2. 서버 침투에 성공하면, C&C 서버로부터 채굴 악성코드를 전송 받는다.

IoT 장비의 경우, 기존 Malware 방법인 scanning과정을 통해 기기 접속 -> 코드삽입-> 감염이 이루어지기 때문에 네트워크 정보만을 이용해 탐지하기엔 어려움이 있다.

 

나. 공격 경로

  • “워터링 홀” 수법: 워터링 홀은 사이트에 악성코드를 심어서 방문자를 감염시키는 방법이다. 크립토재킹의 성공 여부는 감염 사용자 수에 달려있는데, 채굴 기기가 많아질수록 가상화폐 획득 성공률이 올라가기 때문이다. 
  • “악성 이메일” 이용: 문서 형태로 실행파일을 속여서 크립토재킹 설치파일을 유포한다. 사용자가 파일을 다운로드 후 실행하면, 크립토재킹이 기기에 몰래 설치된다. SMB(Server Messaging Block)을 이용해서 유포할 수도 있는데, SMB는 파일과 같은 공유를 목적으로 만들어진 프로토콜이다.

 

다. 감염증상

  • 크립토재킹은 네트워크로 연결된 경우가 많다. 그래서 해커가 크립토재킹 악성코드를 경로로 추가적으로 악성코드를 심을 수 있다.
  • 크립토재킹은 스캐닝 정보를 통해 IoT장비에 접속 후 코드 삽입을 통해 감염 시킨다. 
  • 기기를 원격으로 조종하고 재부팅을 해도 자동으로 실행되도록 레지스트리를 추가하여 기기를 사용한다.
  • 감염 되었을 경우 백그라운드에서 실행되는 가상화폐 채굴 악성코드를 통하여 변동되는 CPU 증상되는 현상을 확인 할 수 있다.
  • 크립토재킹에 감염되었을 때, 악성 사이트 접속을 차단하고 운영체제 업데이트 방법 등의 대처방안이 나와있다.
  • IoT장비의 경우 사용자가 감염 여부를 감지하기는 어렵다. 기존 네트워크 정보를 기반으로 한 침입탐지 방법은 하드웨어의 변화를 감지하지 못한다.