파워셸 코드를 사용해 난독화...핵심이 되는 코드와 모듈 감춰져 있어
이터널블루 익스플로잇 사용해 네트워크 곳곳에 퍼져...디도스 공격도 가능

[보안뉴스 문가용 기자] 파워고스트(PowerGhost)라는 암호화폐 채굴 멀웨어가 발견됐다. 시스템을 감염시키고도 탐지되지 않으며, 파일레스 기법을 사용해 증식하는 것이 특징이라고 보안 업체 카스퍼스키(Kaspersky)가 공개했다.


이 채굴 멀웨어는 워크스테이션과 서버를 모두 노리는 것으로, 채굴의 효율이 비교적 높은 대기업 네트워크에서도 증식이 가능하다. 이렇게 확장성이 좋은 이유는 NSA의 툴킷이라고 알려진 이터널블루(EternalBlue)를 사용하기 때문이다.

카스퍼스키는 “암호화폐의 인기가 사이버 범죄자들 사이에서 여전함을 증명한다”고 분석한다. 어떻게 해서든 암호화폐를 더 많이 보유하려고 온갖 방법을 동원한다는 것이다. 사용률이 떨어지고 있는 랜섬웨어와 비교해보면 채굴 멀웨어의 인기를 실감할 수 있다고 카스퍼스키는 강조한다. (하지만 업체에 따라 랜섬웨어가 역전할 것이라는 의견도 존재한다.)

파워고스트는 난독화를 위해 파워셸 스크립트를 사용한다. 멀웨어의 핵심 코드가 감춰져 있는 것은 물론 여러 개의 애드온 모듈도 파워셸 스크립트 안에 숨겨져 있다. 채굴 운영에 필요한 라이브러리, 미미캐츠(Mimikatz)라는 크리덴셜 수집 툴, PE 파일 주입 모듈, 이터널블루 익스플로잇의 셸코드 등이 모듈에 포함된다.

또한 파워고스트는 파일레스 공격 기법을 사용하기 때문에 일반적인 백신 기술로는 탐지가 어렵다는 특징을 가지고 있다.

감염은 원격 관리 툴(WMI)이나 익스플로잇 기법을 통해 진행되는데, 이 때 한 줄짜리 파워셸 스크립트가 실행된다. 채굴 코드의 몸통에 해당하는 부분을 심고 실행시키기 위해서다. 하드디스크에 파일이 따로 저장되지는 않는다. 그런 후 C&C 서버를 확인하고 새로운 채굴 코드 버전이 발견되면 그것을 가져다가 시스템에 심는다.

미미캐츠는 사용자의 계정 정보와 크리덴셜을 훔치기 위해 사용된다. 미미캐츠로 크리덴셜 도난에 성공했다면 파워고스트는 사용자인 것처럼 로그인을 해 네트워크 내 다른 컴퓨터로 전염된다. 이 때 최초의 WMI 기반의 공격법이나 이터널블루 익스플로잇(CVE-2017-0144)이 시도된다.

이 단계가 지나고 새로운 기기들에 대한 감염 역시 성공한 이후 파워고스트는 여러 가지 익스플로잇 기법을 발휘해 권한 상승 공격을 시도한다. 이 때 다양한 취약점을 공략하는데, CVE-2018-8120도 여기에 포함된다. CVE-2018-8120은 Win32k 요소가 메모리 내 객체를 제대로 다루지 못하면서 생기는 취약점으로, 권한 상승을 유발한다.

파워고스트의 모든 모듈들은 WMI 클래스의 속성으로서 저장된다. 또한 채굴 코드의 핵심인 몸통 부분은 90분마다 시작되는 WMI 이벤트로서 저장되며, 채굴은 PE 파일 주입을 통해 이뤄진다고 카스퍼스키는 설명한다. 카스퍼스키가 발견한 여러 파워고스트 버전 중 하나는 디도스 공격 기능도 가지고 있었다.

파워고스트의 모든 요소들이 파일레스 기법으로 작동되는데, 이 디도스 부분만 유일하게 파일 형식으로 하드디스크에 저장된다고 한다. 카스퍼스키는 이 역시 머지않아 파일레스 기법으로 대체될 것이라고 보고 있다.

또한 디도스 공격을 은밀한 채굴 공격에 심은 이유에 대해 카스퍼스키는 정확한 이유를 찾지 못하고 있다. 다만 디도스 공격을 통해 돈을 더 벌고자 하는 것이 아닐까 추측하고 있다. 현재까지 파워고스트는 대기업의 네트워크 내에서 주로 발견되고 있다. 주요 피해 국가는 인도, 브라질, 콜롬비아, 터키다.

3줄 요약
1. 파일레스 기법과 이터널블루 익스플로잇 결합한 모듈형 채굴 멀웨어.
2. 네트워크 내 다른 컴퓨터로 퍼지고, 권한 상승 공격도 병행. 디도스 공격도 가능.
3. 좋다는 기술 한 데 묶어 놓은 짬뽕, 해커들 사이 암호화폐 인기 여전함 알 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>