분석 정보/악성코드 분석 정보

안전 모드에서 실행되는 Crackonosh 코인 마이너

2018년에 처음 발견된 "Crackonosh" 악성코드가 최근 불법 게임 크랙판과 함께 유포되고 있다.

 

"Crackonosh" 랜섬웨어는 PC의 안전 모드에서 실행되는 특징이 있으며 최종 페이로드인 "XMRig" 코인마이너를 이용해 사용자의 PC에서 불법적으로 모네로 암호화폐를 채굴한다. 또한, 드랍된 파일들을 이용하여 백신 프로그램을 삭제를 시도하거나 공격자의 C&C 서버에 연결을 시도한다.

 

[그림 1] Crackonosh 흐름도

 

1. 파일 드랍

게임 크랙 버전 설치 파일

"Crackonosh” 악성코드는 게임의 크랙 설치 파일로 유포되며 실행하면 서로 다른 동작을 수행하는 파일을 드랍한다.

 

[표 1] 드랍 파일 정보

 

2. 암호화폐 채굴 및 백신 프로그램 삭제 시도

Maintenance.vbs

"Maintenance.vbs"는 커맨드를 통해 안전 모드에서 "serviceinstaller.msi" 파일을 실행할 수 있도록 설정한다.

 

[그림 2] maintenance.vbs 바이너리 코드

 

실행되는 커맨드에 대한 상세 정보는 [2]와 같다.

 

[표 2] maintenance.vbs가 실행하는 커맨드 및 동작

 

Serviceinstaller.msi

위의 vbs 파일을 통해 실행되는 "serviceinstaller.msi"는 'HKLM\SYSTEM\CurrentControlSet\services\ServiceInstaller'레지스트리를 생성하고, 안전 모드에서 "serviceinstaller.exe" 파일을 실행할 수 있도록 서비스에 등록한다.

 

[그림 3] serviceinstaller.exe 서비스 등록 레지스트리

 

[표 3] 생성된 레지스트리 값 정보

 

Serviceinstaller.exe

감염 직후, 사용자가 PC를 부팅하면 자동으로 안전모드로 진입하여 서비스 관리자에 의해 "serviceinstaller.exe"가 실행된다.

 

"serviceinstaller.exe"가 실행되면 공격자 C&C 서버와 통신하기 위한 "StartupCheckLibrary.dll"과 불법적인 코인 채굴을 위한 "winlogui.exe" 파일을 드랍한다. 그 후, 드랍된 "winlogui.exe"와 공격자의 마이닝 풀 주소를 레지스트리에 등록한다.

 

[그림 4] 레지스트리에 등록된 winlogui.exe 및 공격자 마이닝 풀 주소

 

또한, 백신 프로그램을 탐색한 후, 안전 모드로 부팅된 PC에서 실행되지 않은 백신 프로그램을 삭제한다. 또한, 레지스트리 변조를 통해 윈도우 디펜더를 비활성화 한다.

 

[그림 5] 윈도우 디펜더 비활성화 레지스트리 변조

 

Winlogui.exe

"Winlogui.exe"는 모네로 암호화폐 채굴 프로그램인 "XMRig" 파일로 사용자의 PC에서 모네로 암호화폐를 불법으로 채굴한다.

 

3. 코인 마이너 업데이트 및 공격자 C&C 서버 연결

StartupCheckLibrary.dll

"StartupCheckLibrary.dll' 파일은 암호화된 공격자 서버 주소를 복호화한 후, 해당 서버에 연결하여 이전 버전의 "winlogui.exe" 파일을 새로운 버전으로 업데이트하기 위해 필요한 "wksprtcli.dll"을 다운로드한다.

 

[그림 6] 공격자 서버 DNS 주소 복호화 및 서버 연결

 

Wksprtcli.dll

다운로드 된 "wksprtcli.dll" 파일은 작업 스케줄러에 공격자의 C&C 서버에서 새로운 버전의 "winlogui.exe" 파일을 다운로드하는 "winrmsrv.exe"와 추가 파일을 다운로드 하는 "winscomrssrv.dll"를 사용자가 PC에 로그온할 때 자동으로 실행되도록 등록한다.

 

추가적으로 동일한 조건으로 작업 스케줄러에 "winlogui.exe" 파일을 등록하여 사용자가 로그온할 때마다 새로운 버전의 코인 마이너가 실행되도록 한다.

 

[표 4] 작업 스케줄러에 등록된 동작 정보

 

Winrmsrv.exe

해당 파일은 "winlogon.exe"의 생성 날짜를 확인하여 이전 버전일 경우 공격자의 C&C 서버에서 새로운 버전의 "winlogon.exe" 파일을 다운로드한다.

 

이후 위의 "wksprtcli.dll"에서 등록된 작업 스케줄러에 의해 다운로드 한 새로운 버전의 "winlogon.exe"가 실행된다.

 

Winscomrssrv.dll

"winscomrssrv.dll"은 암호화 된 공격자의 여러 C&C 서버 URL 주소를 복호화 한 후, 추가 파일을 다운로드한다.

 

 

"Crackonosh" 악성코드는 안전 모드에서 실행되어 효율적인 백신 프로그램 종료를 시도하고, 사용자의 PC에서 불법적으로 암호화폐를 채굴한다. 최근 유명한 게임의 불법 크랙 버전과 함께 유포되고 있다는 점에서 사용자는 인터넷에 업로드된 불법적인 소프트웨어를 다운로드하지 않는 것을 권장한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

댓글

댓글쓰기