크립토재킹 대재앙: 크립토마이닝의 4기사 물리치기

/0 코멘트/카테고리: /작성자:

비트코인과 기타 암호화폐의 가격 변동에도 불구하고, 크립토재킹(Cryptojacking)은 여전히 비즈니스, 중소기업 및 일반 소비자들에게 심각한(종종 은폐된) 위협입니다.

또한, 이러한 위협 중 가장 은밀한 위협은 브라우저를 통한 크립토마이닝(Cryptomining)으로, 자주 사용되는 형태의 맬웨어가 사용자의 장치를 크립토재커(Cryptojacker)라고 불리는 풀타임 암호화폐 채굴 봇으로 변환시키려는 시도를 합니다.

이러한 트렌드를 창의적으로 이해하는 데 도움이 되도록 제가 즐겨 사용하는 교육 방식에 조금 과장법을 섞어 말씀드리겠습니다. 피해자들 중 일부가 생각하는 대로 크립토재킹의 물결을 대재앙이라고 본다면, 요한계시록의 4기사는 엔드포인트 또는 비즈니스에 대한 네 가지 위협이라고 볼 수 있습니다.

  • 백색 : 소비하거나 낭비하는 에너지
  • 적색 : 제한된 자원으로 인한 생산성 손실
  • 흑색 : 시스템에 가해질 수 있는 손상
  • 청색 : 생성된 취약점으로 인한 보안 관련 사항

돈을 요구하기 위해서는 사용자가 보아야 하는 랜섬웨어와 달리, 크립토재커의 작업은  CPU 성능 그래프나  장치의 팬에 무언가 정상이 아니라는 것이 나타날 수는 있더라도 기본적으로 백그라운드에서 보이지 않게 실행됩니다.

랜섬웨어 변종의 효과와 ROI는 VirusTotal과 같은 공개 피드에 노출되자마자 감소하기 때문에 랜섬웨어 작성자들은 지난 2년 동안 크립토재킹을 더 많이 사용하기 시작했습니다.

사이버 범죄자들은 수익성 높은 비즈니스를 운영하는 모든 이들과 마찬가지로 재무 목표를 달성하기 위해 끊임없이 새로운 방법을 모색해야 합니다. 바로 이 문제를 해결하기 위해 크립토재킹이 사용되고 있는 것이죠.

2018년 4월, SonicWall은 크립토재킹 트렌드, 즉 맬웨어에 코인하이브(Coinhive)를 사용하는 트렌드를 추적하기 시작했습니다. 지난 1년 동안 저희는 크립토재킹의 변화를 목격했습니다. 그 기간 동안 SonicWall은 약 6천만 건의 크립토재킹 공격을 기록했으며 2018년 9월에만 1,310만 건의 공격을 기록한 바 있습니다. 2019년 SonicWall 사이버 위협 보고서에 발표된 바와 같이, 2018년의 마지막 분기에는 그 규모가 감소했습니다.

전세계 크립토재킹 공격 | 2018 4~9

크립토마이닝의 미끼

크립토마이닝 작업은 점점 인기를 얻고 있으며 현재 전세계 전기 소비량의 약 0.5%을 소비하고 있습니다. 극심한 가격 변동에도 불구하고 합법적으로 채굴하는 비트코인 비용의 약 60%가 에너지 소비입니다. 사실, 이 기사를 작성하고 있는 현시점의 비트코인 가격은 합법적으로 채굴하는 비용보다 낮습니다.

사이버 범죄자들은 장비 구입 및 유지 보수와 비교할 때 이러한 비용과 위험 요소가 없기 때문에 다른 사람의 자원으로 암호화폐를 창출하고자 하는 강력한 동기 부여를 갖습니다. 크립토마이너로 10대의 컴퓨터를 감염시키면 하루 100달러까지 벌 수 있으므로 크립토재커가 해야 할 일은 다음 세 가지입니다.

  1. 목표물을 찾습니다. 특히 학교나 대학과 같이 동일 네트워크에 수많은 기기를 보유하고 있는 조직이 주로 목표물이 됩니다.
  2. 가능한 한 많은 컴퓨터를 감염시킵니다.
  3. 가능한 한 오랫동안 숨어 있어야 합니다. (랜섬웨어와는 다르고 전통적인 맬웨어에 더 가깝죠.)

크립토재커는 맬웨어와 유사한 기술, 즉 의도하지 않은 다운로드, 피싱 캠페인, 브라우저 내 취약점 및 브라우저 플러그인 등을 사용하여 엔드포인트에 접근합니다. 그리고, 물론 소셜 엔지니어링 기술을 통해 가장 취약한 링크인 사람에게 의존합니다.

제가 크립토마이너에 감염되었나요?

크립토마이너는 여러분의 처리 능력에 관심이 있으며, 크립토재커는 은폐를 통해 이익을 취해야 합니다. 이들이 취하는 CPU 리소스의 양은 이들의 목적에 따라 다릅니다.

적은 양을 빼돌리면 사용자가 이상한 낌새를 눈치채지 못하기 때문에 발견하기가 어렵습니다. 더 많은 양을 훔치면 이익이 늘어나겠죠? 두 경우 모두 성능에 영향을 미치지만 임계값이 충분히 낮으면 합법적인 소프트웨어와 채굴자를 구별하는 것이 어려울 수 있습니다.

엔터프라이즈 관리자는 자신의 환경에서 알 수 없는 프로세스를 찾아내고, Windows 최종 사용자는 Sysinternals Process Explorer 를 실행하여 실행 중인 프로그램을 확인해야 합니다. Linux 및 macOS 사용자는 같은 이유로 시스템 모니터(System Monitor)와 활동 모니터(Activity Monitor)를 각각 사용하여 조사해야 합니다.

크립토마이너 방어 방법

크립토마이너에 대한 첫 번째 방어 단계는 알려진 파일 기반 위협을 제거하는 가장 좋은 방법 중 하나인 방화벽 또는 전자 메일 보안(경계 보안)을 통해 게이트웨이에서 이러한 유형의 맬웨어를 차단하는 것입니다.

사람들은 오래된 코드를  다시 사용하고 싶어하기 때문에 코인하이브와 같이 크립토재커를 잡아내는 것 역시 간단한 첫 번째 방어 단계였습니다. 하지만, 2019년 2월에 코인하이브는 공개적으로 3월 8일에 운영을 중단한다고 발표했습니다. 이 서비스는 “더 이상 경제적으로 실용적이지 않다”고 밝혔으며 “작동 중단(Crash)”이 비즈니스에 심각한 영향을 미쳤다고 밝혔습니다.

이 소식에도 불구하고, SonicWall은 그 빈자리를 채울 새로운 크립토재킹 변종과 기술이 크게 증가할 것이라고 예측하고 있습니다. 크립토재킹은 그 은닉성 때문에 악의적인 행위자가 여전히 선호하는 방식이 될 수 있습니다. 피해자에 대한 경미하고 간접적인 피해 때문에 노출될 가능성이 낮고 성공적인 공격의 수명이 연장되기 때문입니다.

맬웨어 변형이 알려지지 않은 경우(새로운 것이거나 업데이트된 경우), 경계 보안에서 정적 필터를 우회할 것입니다. 파일을 알 수 없는 경우, 파일의 특성을 검사하기 위해 샌드박스로 라우트됩니다.

멀티 엔진 SonicWall ATP(Advanced Threat Protection) 샌드박스 환경은 하나의 엔진을 회피할 수 있지만 다른 엔진들은 회피할 수 없는 포착하기 어려운 맬웨어를 식별하고 중지하도록 설계되었습니다.

엔드포인트가 이 전형적인 설정에 해당되지 않는 경우(예: 공항이나 호텔에서 로밍 중), 동작 탐지 기능이 포함된 엔드포인트 보안 제품을 배포해야 합니다.

크립토마이너는 브라우저에서 작동하거나 파일리스 공격(Fileless Attack)을 통해 전달될 수 있으므로 컴퓨터에서 무료로 제공되는 레거시 솔루션으로는 이를 전혀 감지할 수 없습니다.

SonicWall Capture Client와 같은 동작 기반 바이러스 백신은 시스템이 코인을 채굴하려고 하는지 감지한 다음 작업을 중단시킵니다. 관리자는 맬웨어를 쉽게 격리 및 삭제할 수 있으며, 시스템 파일을 손상시키는 무언가가 있는 경우 맬웨어가 실행되기 전의 마지막으로 양호한 상태로 시스템을 롤백할 수 있습니다.

경계 방어와 동작 분석을 함께 사용함으로써, 조직은 트렌드 또는 의도가 무엇이든 상관없이 최신 형태의 맬웨어를 퇴치할 수 있습니다.