분석 정보/악성코드 분석 정보

[악성코드 분석] 코인마이너 KMSPico 10.2.2 분석

TACHYON & ISARC 2018. 1. 18. 11:24

사용자의 동의 없이 가상화폐 채굴 프로그램을 실행시키는 악성코드 주의




1. 개요 


최근 가상화폐에 대한 가치가 주목받고 있는 가운데 가상화폐 채굴 프로그램을 실행시키는 악성코드가 출현하고 있어 사용자의 주의가 필요하다. 


이번에 발견 된 가상화폐 채굴 프로그램은 사용자 동의 없이 실행되기 위해 불법 윈도우를 이용하는 사용자들을 대상으로 유포하고 있다. 대게 불법 윈도우를 사용하는 이용자들은 정품인증을 받기 위하여 'KMSPico' 프로그램을 사용하는데, 특정 웹사이트에서 배포하는 'KMSPico 10.2.2.exe' 는 설치 시 ‘모네로’ 채굴 프로그램을 동작 시키고 있다.


복잡한 연산을 필요로 하는 채굴 작업은 컴퓨터에 부하를 발생시켜 작업지연이나 갑작스러운 종료를 초래할 수 있기 때문에 주의가 필요하다.


이번 보고서에는 무단으로 가상화폐 채굴을 수행하는 ‘KMSPico 10.2.2.exe’ 악성코드에 대해서 알아보고자 한다.




2. 분석 정보


2-1. 파일 정보


구분

내용

파일명

KMSPico 10.2.2.exe

파일크기

2,878,711 byte

악성동작

파일 드롭(Win32.exe)









구분

내용

파일명

Win32.exe

파일크기

673,792 byte

악성동작

가상화폐 채굴기 삽입 및 실행










2-2. 유포 경로

특정 웹 사이트를 통해 채굴 프로그램을 실행시키는 ‘KMSPico 10.2.2.exe’ 를 유포한다. 아래 [그림1]은 해당 ‘KMSPico 10.2.2.exe’ 를 유포하는 웹 사이트 화면이다.


[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트[그림1] 가상화폐 채굴 악성코드 ‘KMSPico 10.2.2’ 유포 웹 사이트




2-3. 실행 과정

‘KMSPico 10.2.2.exe’ 설치 시 사용자의 동의 없이 ‘win32.exe’ 를 실행시킨다. ‘win32.exe’ 가 실행되면 운영체제 환경에 따라 특정 프로세스에 코드를 삽입하여 모네로 코인을 채굴한다. 또한, 자동실행 레지스트리를 등록하고 채굴동작을 은폐하기 위해 프로세스 목록을 감시하여 작업관리자(taskmgr.exe) 실행 시 채굴 프로세스를 종료시킨다.






3. 악성 동작


3-1. 코드 삽입을 통한 모네로 코인 채굴

‘KMSPico 10.2.2.exe’ 실행 시 불법 윈도우 정품인증 동작은 수행하지 않고 ‘win32.exe’ 를 드롭하여 실행시킨다. 실행된 ‘win32.exe’ 는 운영체제의 32/64bit환경에 따라 채굴코드를 삽입할 대상 프로세스(wuapp.exe/svchost.exe/notepad.exe/explorer.exe)를 결정하고 채굴코드를 삽입하여 실행한다. 가상화폐 채굴 작업의 경우 복잡한 연산을 수행하기 때문에 CPU 자원에 대한 사용량이 많아 원활한 PC사용에 제한을 준다. 


아래 [그림2]는 채굴기 실행 옵션과 채굴 작업 시 CPU 점유율이 99%에 달하는 화면이다.


 [그림2] 가상화폐 채굴 작업 화면 [그림2] 가상화폐 채굴 작업 화면




정상 프로세스에 삽입되는 채굴코드를 추출하여 실행했을 때 아래와 같이 가상화폐의 지갑 주소와 채굴기 옵션에 대한 내용도 확인된다.


[그림3] 추출한 채굴기의 실행 화면[그림3] 추출한 채굴기의 실행 화면



[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용[그림4] 가상화폐 지갑주소와 채굴코드 옵션 내용




3-2. 채굴 은폐를 위한 작업관리자 프로세스 감시

‘win32.exe’ 는 채굴 프로그램이 삽입된 ‘wuapp.exe’의 동작을 숨기기 위해 아래와 [그림5]와 같이 작업관리자 프로세스인 ‘taskmgr.exe’ 를 감시하다가 작업관리자 실행 시 ‘wuapp.exe’ 종료시킨다.


[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드[그림5] 가상화폐 채굴 은폐를 위한 작업관리자 프로세스 ‘taskmgr.exe’ 감시 코드




3-3. 자동 실행을 위한 레지스트리 등록

‘win32.exe’ 는 시스템 시작 시 채굴 작업이 자동으로 실행될 수 있도록 레지스트리 키 ‘RunOnce’ 에 ‘jXuDlnugma’ 값을 생성하여 ‘win32.exe’ 의 경로를 데이터에 저장한다. 

 

[그림6] 자동 실행을 위한 레지스트리 등록[그림6] 자동 실행을 위한 레지스트리 등록








4. 결론


이번 악성코드와 같이 사용자 동의 없이 설치되는 가상화폐 채굴 프로그램은 실행 시, 자원을 임의로 사용하여 정상적인 PC이용을 할 수 없도록 만들고 사용자가 이를 알아차리기 쉽지 않도록 교묘하게 숨기고 있어 각별한 주의가 필요하다. 


따라서, 안전한 PC 사용환경을 만들기 위해 불법 소프트웨어의 사용을 자제하도록 하고 윈도우 정품을 구입하여 사용하는 것을 권고한다.