2018.10.01

코디를 통한 첫 번째 크립토재킹 활동 발견…이셋

Ms. Smith | CSO
미디어 스트리밍 앱인 코디(Kodi)가 비밀리에 모네로를 채굴하고 있다. 일부 사이버범죄자가 코디의 부가 기능에 악성코드를 숨겨 미디어스트리밍 앱을 크립토재킹 공격에 사용했다.

연구원들은 코디 플랫폼을 통해 설치되는 최초의 악의적인 크립토마이닝(cryptomining) 캠페인을 발견했다. 현재 약 5,000명의 피해자가 자신도 모르는 사이에 사이버범죄자를 위해 코디를 통해 모네로를 채굴하고 있다.

코디 악성코드에 대한 공포스러운 소문은 많았지만 코디 부가기능을 통해 배포된 것으로 알려진 악성코드는 이것이 유일하다. 그러나 일부 불법복제 방지단체는 코디가 악성코드를 배포하는 데 사용되고 있다는 주장을 멈추지 않는다.

예를 들어, 저작권 관련 전문매체인 토렌트프리크(Torrent Freak)는 RSA에서 촬영한 "코디/XMBC 플랫폼에서 악성코드가 증가하는 방법"이라는 동영상 인터뷰에 대해 비웃었다. 인터뷰한 사람은 RSA와 함께 불법복제방지를 위해 코디와 관련한 악성코드에 대한 공포를 조장한 바 있다.

토렌트프리크는 한 코디 부가기능이 DDoS 목적으로 사용된 적이 있었는데, 2017년에 다시 돌아왔다고 전했다. XBMC 재단 대표이자 비트디펜더(BitDefender) 위협 분석가는 "2005년 이래로 이 동영상 스트림에서 어떠한 악성코드도 들어본 적이 없다"고 말했다.

실제로, 일부 사이버 범죄자는 코디가 훌륭한 악성코드 배포 플랫폼이 될 것임을 기정사실화했다. 이셋(ESET)의 연구원은 코디 플랫폼을 통해 배포되는 크립토마이닝 캠페인을 처음으로 탐지했다. 사용자가 영화나 TV 감상을 향상시키기 위해 윈도우 또는 리눅스 기반의 코디 부가기능을 사용했다면 지난 수개월동안 자신도모르게 모네로를 채굴했을 지도 모른다. 사실 사용자가 별다른 행동을 취하지 않으면 지금도 채굴중일 수 있다.

부가기능을 위한 XBMC 저장소가 닫힌 이후, 이셋은 이 저장소가 크립토마이닝 캠페인의 일부였음을 발견했다. 이 플랫폼에 버블(Bubbles)과 가이아(Gaia) 부가기능 저장소가 2017년 12월과 2018년 1월에 각각 추가됐다. 이셋은 이 두 개의 소스에서 다른 서드파티 부가기능 저장소와 기존 코디 사용자들의 업데이트를 통해 코디 생태계 전반에 걸쳐 악성코드가 확산되고 있다고 경고했다.

이셋은 코디가 감염 이후, 모네로를 채굴하는 3가지 방법을 설명했다.
1. 코디 설치에 악성 저장소의 URL을 추가한 경우, 2. 완전히 로드된 코디에 악성 URL이 추가된 경우, 어느 쪽이든 코디 부가기능을 업데이트할 때 채굴기가 설치된다.

또한 3. 완전히 로드된 코디가 악성 추가기능을 갖고 있다면 업데이트용 저장소가 링크되어있지 않아도, 심지어 부가기능 업데이트를 하지 않아도 크립토마이너(cryptominer)가 설치되어 있다면 지속적으로 업데이트를 받게된다.

이 공격자의 모네로 전자지갑에는 4,774명의 피해자가 여전히 채굴중이며, 약 6,700달러 상당의 모네로가 들어있다. 비공식 코디 부가기능 커뮤니티에 따르면, 가장 영향을 많이 받은 5대 국가는 미국, 이스라엘, 그리스, 영국, 네덜란드다.

이셋은 리눅스 및 윈도우 기반 코디 설치에 악성코드 바이너리를 제공하는 파이썬 코드를 심층 분석했다.

- 이 코드는 코디와 추가기능 아키텍처에 대해 전문 지식이 있는 사람이 작성한 것이다. 이 스크립트는 실행 중인 운영체제를 탐지하고 자체 C&C 서버에 연결하고 운영체제에 적합한 바이너리 다운로더 모듈을 다운로드하고 실행한다. 초기에 이 악성코드를 코디 생태계에 뿌렸던 주요 부가기능 저장소는 이제 닫혔거나 치료됐지만 이미 많은 기기에서 악성 부가기능이 실행되고 있다.

자신의 코디가 해킹당했는지 확인하려면 이셋은 신뢰할 수 있는 악성코드 방지 솔루션을 사용해 검사하라고 권유했다. 이셋은 윈도우용, 리눅스용 무료 스캐너 또는 무료 평가판을 게재했다. 트렌드 마이크로는 암호화폐 채굴을 탐지할 수 있는 솔루션이 있다고 밝혔다. editor@itworld.co.kr   


2018.10.01

코디를 통한 첫 번째 크립토재킹 활동 발견…이셋

Ms. Smith | CSO
미디어 스트리밍 앱인 코디(Kodi)가 비밀리에 모네로를 채굴하고 있다. 일부 사이버범죄자가 코디의 부가 기능에 악성코드를 숨겨 미디어스트리밍 앱을 크립토재킹 공격에 사용했다.

연구원들은 코디 플랫폼을 통해 설치되는 최초의 악의적인 크립토마이닝(cryptomining) 캠페인을 발견했다. 현재 약 5,000명의 피해자가 자신도 모르는 사이에 사이버범죄자를 위해 코디를 통해 모네로를 채굴하고 있다.

코디 악성코드에 대한 공포스러운 소문은 많았지만 코디 부가기능을 통해 배포된 것으로 알려진 악성코드는 이것이 유일하다. 그러나 일부 불법복제 방지단체는 코디가 악성코드를 배포하는 데 사용되고 있다는 주장을 멈추지 않는다.

예를 들어, 저작권 관련 전문매체인 토렌트프리크(Torrent Freak)는 RSA에서 촬영한 "코디/XMBC 플랫폼에서 악성코드가 증가하는 방법"이라는 동영상 인터뷰에 대해 비웃었다. 인터뷰한 사람은 RSA와 함께 불법복제방지를 위해 코디와 관련한 악성코드에 대한 공포를 조장한 바 있다.

토렌트프리크는 한 코디 부가기능이 DDoS 목적으로 사용된 적이 있었는데, 2017년에 다시 돌아왔다고 전했다. XBMC 재단 대표이자 비트디펜더(BitDefender) 위협 분석가는 "2005년 이래로 이 동영상 스트림에서 어떠한 악성코드도 들어본 적이 없다"고 말했다.

실제로, 일부 사이버 범죄자는 코디가 훌륭한 악성코드 배포 플랫폼이 될 것임을 기정사실화했다. 이셋(ESET)의 연구원은 코디 플랫폼을 통해 배포되는 크립토마이닝 캠페인을 처음으로 탐지했다. 사용자가 영화나 TV 감상을 향상시키기 위해 윈도우 또는 리눅스 기반의 코디 부가기능을 사용했다면 지난 수개월동안 자신도모르게 모네로를 채굴했을 지도 모른다. 사실 사용자가 별다른 행동을 취하지 않으면 지금도 채굴중일 수 있다.

부가기능을 위한 XBMC 저장소가 닫힌 이후, 이셋은 이 저장소가 크립토마이닝 캠페인의 일부였음을 발견했다. 이 플랫폼에 버블(Bubbles)과 가이아(Gaia) 부가기능 저장소가 2017년 12월과 2018년 1월에 각각 추가됐다. 이셋은 이 두 개의 소스에서 다른 서드파티 부가기능 저장소와 기존 코디 사용자들의 업데이트를 통해 코디 생태계 전반에 걸쳐 악성코드가 확산되고 있다고 경고했다.

이셋은 코디가 감염 이후, 모네로를 채굴하는 3가지 방법을 설명했다.
1. 코디 설치에 악성 저장소의 URL을 추가한 경우, 2. 완전히 로드된 코디에 악성 URL이 추가된 경우, 어느 쪽이든 코디 부가기능을 업데이트할 때 채굴기가 설치된다.

또한 3. 완전히 로드된 코디가 악성 추가기능을 갖고 있다면 업데이트용 저장소가 링크되어있지 않아도, 심지어 부가기능 업데이트를 하지 않아도 크립토마이너(cryptominer)가 설치되어 있다면 지속적으로 업데이트를 받게된다.

이 공격자의 모네로 전자지갑에는 4,774명의 피해자가 여전히 채굴중이며, 약 6,700달러 상당의 모네로가 들어있다. 비공식 코디 부가기능 커뮤니티에 따르면, 가장 영향을 많이 받은 5대 국가는 미국, 이스라엘, 그리스, 영국, 네덜란드다.

이셋은 리눅스 및 윈도우 기반 코디 설치에 악성코드 바이너리를 제공하는 파이썬 코드를 심층 분석했다.

- 이 코드는 코디와 추가기능 아키텍처에 대해 전문 지식이 있는 사람이 작성한 것이다. 이 스크립트는 실행 중인 운영체제를 탐지하고 자체 C&C 서버에 연결하고 운영체제에 적합한 바이너리 다운로더 모듈을 다운로드하고 실행한다. 초기에 이 악성코드를 코디 생태계에 뿌렸던 주요 부가기능 저장소는 이제 닫혔거나 치료됐지만 이미 많은 기기에서 악성 부가기능이 실행되고 있다.

자신의 코디가 해킹당했는지 확인하려면 이셋은 신뢰할 수 있는 악성코드 방지 솔루션을 사용해 검사하라고 권유했다. 이셋은 윈도우용, 리눅스용 무료 스캐너 또는 무료 평가판을 게재했다. 트렌드 마이크로는 암호화폐 채굴을 탐지할 수 있는 솔루션이 있다고 밝혔다. editor@itworld.co.kr   


X