Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보북한의 URL(김일성종합대학)을 확인할 수 있는 Miner
작성일 2018-01-16 조회 1379

 

 

최근 북한 관련 Monero 채굴 악성코드를 심심치 않게 볼 수 있습니다. 국제 정서상 가상화폐를 북한으로서는 하나의 돌파구가 될 수도 있기에 이러한 현상은 지극히 정상일 것입니다. 어딘가에서 북한 사이버 전사들이 가상화폐에 매달릴지도 모릅니다.

 

최근 발견된 Monero 채굴 악성코드 또한 북한을 연상시키는 단어들을 많이 확인할 수 있습니다. 어디로 유포되었는지는 현재로는 확인할 수 없습니다.

 

 

 

Monero Miner

파일명: ConsoleApp5.exe
MD56a261443299788af1467142d5f538b2c
SHA245: c599f3ca3417169e4a620b8231f8a97ccc63e291b9e09c888e6807dd90f1f17c
크기: 11,264 Byte
행위: Miner

 

 

연관 샘플 Sha256

 - 42300b6a09f183ae167d7a11d9c6df21d022a5f02df346350d3d875d557d3b76
 - 0024e32c0199ded445c0b968601f21cc92fc0c534d2642f2dd64c1c978ff01f3

 

 

샘플은 굉장히 간단하게 이루어져 있습니다.

 

[그림] Miner 코드

 

 

URL: barjuok.ryongnamsan.edu.kp:5615

ID: 4JUdGzvrMFDWrUUwY3toJATSeNwjn54LkCnKBPR

     zDuhzi5vSepHfUckJNxRL2gjkNrSqtCoRUrEDAgRwsQvVCjZbRy5YeFCqgoUMnzumvS

PW: KJU + processorCount 

     * KJU 는 김정은의 약자

 

 

해당 설치프로그램은 intelservice.exe 파일을 시스템 경로(sys64)에 복사합니다. intelservice.exe는 마이닝 멀웨어와 관련이 있는 프로그램 이름이라고 할 수 있습니다. 

 

 

악성코드 내 사용되는 옵션은 XMRig 옵션과 동일하며 최근 발생하는 Miner 악성코드에서 자주 사용하는 프로그램입니다. 

 

 

[그림] XMRig 옵션

 

 

ryongnamsan.edu.kp은 김일성종합대학의 URL로 가상화폐 채굴 정보를 해당 URL로 전송합니다. 해당 부분은 Mining Pool URL 주소가 들어가는 자리이며, 해당 자리에 김일성종합대학의 URL 정보가 들어가 있다는 것은 김일성종합대학 주소를 Mining Pool과 같은 기능으로 사용하고 있다는 뜻입니다.

 

 

현재 해당 주소는 닫혀있어 접속할 수 없습니다. 물론 접속이 된다고 하더라도 북한의 URL은 우리나라에서는 접속할 수 없을 것입니다. 

 

 

[그림] URL DNS Query

 

 

 

 

북한 주소로 접속하여 채굴하는 사람이 주위에 목격이 된다면

111 혹은 113으로 신고하시길 바랍니다.

 

 

 

 

이 악성코드는 현재도 개발중이며, 앞으로 좀 더 나은 채굴기로 등장할 것입니다. 정확하게 밝혀진 사항은 없지만 아래와 같이 많은 가능성을 열어두어 접근하여야 합니다.

 

 1. 이 프로그램은 대학 자체 망에서 사용하는 채굴기로 북한 내부에서 사용하는 응용프로그램이다.

 2. 현재는 개발중이며, 개발에 사용되었던 주소를 막아놓고 현재는 사용하지 않는다.

 3. 북한 단어는 북한인 척하는 타 국가의 Fake 이다. (ex. 김일성종합대학에 다니는 외국인 등)

 

 

 

 

앞으로 북한 관련 악성코드는 끊임없이 등장할 것이며, 실제 북한일수도 아닐수도 있습니다. 하지만 항상 조심하는 자세로 관심을 가지는 것이 중요합니다. 

 

항상 최신 백신과 소프트웨어 업데이트로 PC를 보호하며, 신뢰하지 못하는 메일의 첨부파일은 절대로 다운로드 및 실행하지 않도록 해야합니다.

 

 

 

[Sniper IPS]

 - 정/오탐 확인중

 

[Sniper UTM]

 - 정/오탐 확인중

 

[Sniper APTX]

 - 정/오탐 확인중

 

 

 

Source

https://www.alienvault.com/blogs/labs-research/a-north-korean-monero-cryptocurrency-miner

첨부파일 첨부파일이 없습니다.
태그 Miner  김일성종합대학  Monero