사진: Shutterstock



보안업체 Palo Alto Networks가 피해자의 CPUGPU로 비트코인을 채굴할 수 있는

독특한 맬웨어군을 발견했다. Palo Alto Networks에 따르면 이 맬웨어는

PWOBot이라 하며 파이썬 언어로 작성되고 파이인스톨러(PyInstaller)로 컴파일되며

MS윈도 실행파일(exe)을 생성한다. PWOBot은 특히 폴란드를 중심으로

유럽의 여러 업체를 공격했으며 폴란드 파일공유서비스를 통해 퍼지고 있다.

 

PWOBot은 피해자 GPUCPU를 가지고 파일 다운로드 및 실행, 키입력 로깅, 피이썬코드 실행, 비트코인 채굴 등의 작업을 실행할 수 있다. 이 맬웨어의 활동기록은 2013년 하반기까지 거슬러 올라가며 적어도 두 종의 변종이 있다. 최근 공격사례는 2015년 중후반에 발생했다.

 

다양한 피해사례

 

PWOBot 맬웨어의 피해자는 다음과 같다: 폴란드의 대규모 소매업체, 운송업체, 국가기관, 정보기술업체, 덴마크의 건설업체, 프랑스의 안과기기업체. 그리고 PWOBot 샘플의 대부분은 폴란드 파일공유서비스 Chomikuj.pl을 통해 다운로드됐다고 한다. PWOBot 사본을 유포한 URL은 다음과 같다.

 

s6216.chomikuj[.]pl/File.aspx?e=Pdd9AAxFcKmWlkqPtbpUrzfDq5_SUJBOz

s6102.chomikuj[.]pl/File.aspx?e=Hc4mp1AqJcyitgKbZvYM4th0XwQiVsQDW

s8512.chomikuj[.]pl/File.aspx?e=h6v10uIP1Z1mX2szQLTMUIoAmU3RcW5tv

s6429.chomikuj[.]pl/File.aspx?e=LyhX9kLrkmkrrRDIf6vq7Vs8vFNhqHONt

s5983.chomikuj[.]pl/File.aspx?e=b5Xyy93_GHxrgApU8YJXJlOUXWxjXgW2w

s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3FdOGBKSSUQhl

s6701.chomikuj[.]pl/File.aspx?e=tx0a8KUhx57K8u_LPZDAH18ib-ehvFlZl

s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3ISlGKLuMnr9H

s6539.chomikuj[.]pl/File.aspx?e=EH9Rj5SLl8fFxGU-I0VZ3OFFAuDc0M9m0

s6179.chomikuj[.]pl/File.aspx?e=Want-FTh0vz6www2xalnT1Nk6O_Wc6huR

s6424.chomikuj[.]pl/File.aspx?e=o_4Gk0x3F9FWxSDo4JWYuvGXDCsbytZMY

 

http://108.61.167이라는 IP주소가 PWOBot의 인스턴스를 다운로드했다. 이 주소는 PWOBot 샘플의 또 다른 악용대상인 tracking[.]com 도메인과 연관된다. PWOBot을 배포한 파일명은 다음과 같다.

favicon.png

Quick PDF to Word 3.0.exe

XoristDecryptor 2.3.19.0 full ver.exe

Easy Barcode Creator 2.2.6.exe

Kingston Format Utility 1.0.3.0.exe

uCertify 1Z0-146 Oracle Database 8.05.05 Premium.exe

Six Sigma Toolbox 1.0.122.exe

Fizjologia sportu. Krtkie wykady.exe [Physiology of sports. Short lectures.exe]

 

소프트웨어를 가장하여 침투

 

PWOBot 샘플 몇몇은 다양한 소프트웨어 유틸리티로 위장하여 전파된다. PWOBot의 최초 감염과정은 확실히 밝혀지지 않았다. 다만 PWOBot이 말단사용자로 하여금 다른 소프트웨어를 다운로드한다는 착각을 일으키도록 했다고 본다면 파일명을 통해 최초원인을 어느 정도 짐작은 할 수 있다. 피싱공격이 피해자의 파일 다운로드를 유도했을 수도 있다. 공격자는 파이인스톨러를 통해 파이썬코드를 MS 실행파일로 변환한다. 파이썬의 경우 OSX나 리눅스와 같은 다른 운영체제로 옮겨갈 수도 있다.

 

PWOBot 설치과정

 

PWOBot은 최초 실행시에 우선 구형 버전의 PWOBot을 삭제하게 된다. 이 경우 레지스트리키를 조사하여 구형 버전을 조사하게 된다. 대부분의 버전은 레스트리키에 pwo[버전번호] 형식으로 등록된다.

 


 

구형버전이 삭제되고 나면 PWOBot은 자체 설치를 진행하고 실행파일 사본을 다음 위치에 생성한다.

%HOMEPATH%/pwo[VERSION]

 

이후 다음 레지스트리키를 실행파일 사본으로 연결시킨다.

HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/pwo[VERSION]

 

PWOBot이 위 과정을 처음 실행하는 경우라면 실행파일 사본을 새로운 프로세스로 실행하게 된다.

 

PWOBot 설치가 완료되면 이후의 키로깅 기능에 사용되는 각종 키보드 및 마우스 이벤트를 수집한다. PWOBot은 모둘 방식으로 작성됐기 때문에 공격자가 런타임 중에 다양한 모듈을 포함시킬 수 있다. 현재 식별된 샘플을 토대로 PWOBot이 동반하는 서비스와 그에 대한 설명은 다음과 같다.

PWOLauncher : 파일 다운로드/실행 또는 로컬파일 실행

PWOHTTPD : 피해자 기기에 HTTP 서버 생성

PWOKeyLogger : 피해자 기기의 키입력 기록

PWOMiner : Mine bitcoins using the victim CPU/GPU 피해자 CPU/GPU로 비트코인 채굴

PWOPyExec : 파이썬코드 실행

PWOQuery : 원격URL 및 응답결과 문의

 

설정파일 2종

 

PWOBot2가지 설정파일을 동반하는데 하나는 PWOBot이 채택할 여러 설정을 지정하며 다른 하나는 PWOBot이 실행 중에 접속할 원격서버를 지정한다.


PWOBot 기본 설정


 

PWOBot 원격서버 설정

 


공격자가 파이인스톨러로 코드를 컴파일하는 과정에서 PWOBot에 다양한 윈도 실행파일을 포함시켰으며 이는 위에 나온 그림 2를 통하 확인할 수 있다. 이들 실행파일은 비트코인 채굴을 실행하기도 하고 토르(Tor) 브라우저를 통해 프록시요청을 실행하기도 한다. 비트코인채굴기는 cgminerminerd를 컴파일한 버전이다. 이들 파일은 각각 CPU GPU 비트코인채굴에 사용된다.

 

참고: Report: BitTorrent malware risks call for better security measures

https://hacked.com/report-bittorrent-malware-risks-call-better-security-measures/

 

토르 브라우저 통해 전파

 

PWOBot은 공격자 원격서버와 통신하기 위해 토르 브라우저를 사용한다. 이를 통해 익명성과 암호화를 모두 챙길 수 있지만 해당 트래픽은 토르 운영정책에 위배될 가능성이 거의 확실하기 때문에 네트워크 관리자에게 알려질 수 있다. PWOBot은 네트워크 프로토콜에 파이썬 사전을 사용하며 정해진 시간대마다 원격서버에 보고하게 된다.

 

위에서 본 예시에 나온 다양한 숫자를 표시하기 위해 열거(enumeration)가 설정된다. 이 숫자에 대응되는 열거를 통해 전송데이터의 보다 완전한 모습을 가시적으로 확인할 수 있게 된다. 보고가 이루어지고 나면 공격자는 PWOBot이 사전 지정된 서비스를 실행하도록 하는 명령을 하달할 수 있다. 이러한 실행의 결과 또한 동일한 형식으로 공격자에게 보고한다.

 

확인된 변종 12

 

Palo Alto Networks가 식별한 최신버전을 태돌 현재 12종의 변종이 확인됐다고 한다. Palo Alto Networks는 현재 5, 6, 6, 10, 12 버전이 유포된 상태를 확인했다. 버전별 변경사항은 그지 않으며 주로 성능향상으로 보인다 한다.

 

PWOBotMS윈도 플랫폼을 주로 공격했으나 기반코드가 플랫폼 간 호환이 되기 때문에 리눅스나 OSX 운영체제로도 이전할 수 있다. 이는 모듈식 설계라는 특징과 더불어 PWOBot을 상당한 위협으로 끌어올린다. PWOBot 개체군(family)은 과거 공개된 바 없다.

 

Palo Alto NetworksPWOBot 피해방지를 위해 제공하는 대책은 다음과 같다.

WildFire 서비스 통해 PWOBot 샘플 전량 악성으로 분류

PWOBot 위협 관련 도메인 악성으로 분류

AutoFocus 고객의 경우 PWOBot 태그를 통해 모니터링 가능

  

 

 

Elliot Maras, New Malware Mines Bitcoin via Victims' CPUs and GPUs, 4. 21. 2016.

https://www.cryptocoinsnews.com/new-malware-mines-bitcoin/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2016.04.27 15:28

위로가기