PC의 심장부에 자리잡은 채굴 악성코드

가상화폐(암호화폐, Cryptocurrency)를 채굴(mining)하는 이른바 마이너(Miner) 악성코드가 지속적으로 유포되고 있는 가운데, 최근 PC의 MBR을 변조하는 마이너 악성코드까지 등장했다. MBR이 손상되면 부팅이 안되는 등 자칫 PC를 사용할 수 없게 되는 만큼 사용자들의 각별한 주의가 요구된다.

지난 2월 모네로(XMR)코인을 채굴하는 마이너 악성코드가 발견됐다. 그런데 이 악성코드는 기존의 마이너 악성코드와 달리 가상화폐 채굴 외에도 국내외 보안 제품의 동작을 방해하고 시스템의 MBR(Master Boot Record)를 변조하는 기능을 갖고 있었다. MBR(Master Boot Record)은 부팅, 즉 PC를 구동하는 것과 관련된 하드디스크 영역으로,  MBR 정보가 파괴되면 PC를 작동시킬 수 없다. 

안랩은 해당 악성코드를 지속적으로 모니터링해왔으며, 지난 3월 중순 이후 국내에 집중적으로 유포되고 있는 것을 확인했다. 특히 국내에서 유포되고 있는 MBR 감염 마이너 악성코드의 상당수는 일명 ‘다크클라우드 부트킷(DarkCloud Bootkit)’을 이용하고 있는 것으로 나타났다. 이를 이용해 감염 PC의 MBR을 변조해 MBR을 확인할 경우 정상적인 것처럼 보이는 MBR 정보를 노출해 MBR 변조 사실을 은폐했다. 

[그림 1] 감염 후 변조된 MBR(위)과 감염 전 정상 MBR(아래) 

해당 악성코드는 PC에 유입되면 먼저 [그림 1]과 같이 MBR 영역에 악성 쉘코드(Shellcode)를 덮어 쓴다. 이 쉘코드가 실행되면 외부와의 통신을 통해 모네로 코인을 채굴하는 파일을 PC에 다운로드하고 실행한다. 또 쉘코드는 API 패치를 통해 변조된 MRB 영역에 정상적인 부트 코드가 보이도록 은폐하며, 다수의 백신 프로그램을 강제 종료하는 기능도 수행한다. 

V3 제품은 해당 악성코드가 MBR 영역 감염을 시도할 때 행위 기반으로 이를 사전 탐지해 [그림 2]와 같은 탐지 알림창을 제공한다.  [그림 2]와 같은 알림창이 나타났을 경우, 탐지된 파일이 의심스러운 파일인지 확인하고 "실행 안 함" 버튼을 클릭해 악성코드를 차단할 수 있다. 

[그림 2] V3의 행위 기반 진단에 의한 탐지

또한 V3 제품은 해당 마이너 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 

<V3 제품군 진단명>

Trojan/Win32.Agent

Malware/Win32.Generic

Trojan/Win32.PowerLocker

MBR 감염을 시도하는 마이너 악성코드에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다. 

►ASEC 블로그 바로가기: MBR 감염 기능의 코인마이너 국내 유포 중