내 PC에 찾아온 비트코인 마이너(악성코드)

2019. 7. 21. 00:30 보안 이야기/리버스엔지니어링

일을 하는중에 갑자기 PC가 느려지는 상황을 겪게 됬다.. 처음에는 그냥 windows defenders가 돌고 있나 싶었지만

너무 심각하게 느려져서 뻥이 날 정도였다. 그래서 좀 분석을 하는 중에 재밌는 것을 발견하게 됬다

 

 

위에 보면 Microsoft windows based script host 라는 프로세스가 돌고 있는데

이 넘이 뭔데 CPU를 26프로나 잡아먹고 있는 것이다..

 

 

도대체 뭘까 검색을 해봤지만 

 

 

 

뭐 이런 내용들 뿐 나랑 같은 문제가 되는 것은 찾아볼 수가 없었다.

 

그래서 악성코드 분석할 때 사용하는 툴인 Process Explorer를 이용해서 한번 봤다

 

 

 

 

이 툴은 프로세스가 어떤 하위 프로세스가 잇는지 보여주고 어떤 경로로 실행이 됬는지 보여주는 아주 좋은 툴인데

보기와같이 beaiz.vbs라는 파일이 물려있는 것을 확인할 수 있었다.

 

 

그래서 저 경로로 이동!(C:\Users\BOURBONKK\appdata\Roaming\qhtxh\beaiz.vbs)

 

아래와 같은 파일들이 쭉쭉 나열되어 있고 서로서로 물려있는 것을 확인할 수 있다.

 

 


무슨 경로가 적혀잇다.


이놈도 무슨 경로가 적혀있다.

 

이쯤에서 얼마전에 보안 뉴스에서 본 단어가 생각났다

비트코인 강제 채쿨 악성코드인 비트코인 마이너!!!

이런 악성코드가 나에게 찾아오다니.. 조금 설렜다 ㅋㅋㅋㅋ

 

보게되면 의심가는 경로가 백신에 잡혀있는 것을 확인할 수 있다.

 

 

 

 

이 부분이 이제 실행을 시켜주는 부분이다.

 스케줄러 명령어를 사용해서 사용자가 로그온 할 때마다 실행이 되게 된다.

 

명령어는"SchTasks /create /SC ONLOGON /TN "ohvnt" /TR "C:\Users\BOURBONKK\AppData\Roaming\qhtxh\ohvnt.vbs"

 

머 이래되어 있어서 대충 봤을때 스케줄러에 ohvnt를 찾아보면 될 것 같다.

 

 

짠~~~~! 요기있네 요놈시키

 

좀더 보기좋게 GUI로 ㅋㅋ 보면 트리거에

사용자가 로그온할 때라고 써있다. 이부분을 삭제 해주자.

그리고! 아까 저위에 

C:\Users\BOURBONKK\AppData\Roaming\qhtxh\ 

하위에 있던 파일들을 모조리 삭제 해준다.

 

그리고 재부팅하면

 

이렇게 6%대의 CPU를 볼 수 있다. 하.. 요거 본다고 오전을 날렸다.ㅋㅋ 재밌으니 봐줌

 

자그럼 어디서 유입이 되었나 봐볼까!!!

 

언제 깔렸나 보자.... 볼랬는데 캡쳐를 안찍고 지웠다

 

 

2018년 5월 24일 오전 11시 3분에 설치됬다.

 

그날이 무슨 날이였나면. 윈도우 업데이트때무에 오전에 오자마자 블루스크린이 발견되어

 

복구를 시도했으나 실패하여 업무환경을 다시 구축한 날... 엿같은날.. ㅎㅎㅎㅎ

 

그날 내가 뭘설치했느냐 .. 바로 모의해킹에 사용되는 툴들을 죄다 깔았는데

 

왠만한건 대부분 기존에 쓰던애들이라 상관이 없엇는데 아이폰 앱 모의해킹에 사용되는 툴중에 하나가 의심이 갈만한 것이 있었다.

 

왜냐면 계속 기존에 쓰던 풀이 안깔려서 유료버전으로 되버린 iToos를 크랙하려고 했기 떄문........

 

자 그럼 그때의 생각을 더듬어서 찾아보러 ㄱㄱ

 

 

저위에 두개 itools_4_3_6.exe랑 ic-0.e어쩌고어쩌고 되어있는애들이 날짜가 29일로 되어있지만

 

사실 24일 11시 3분에 설치된애들이다. 테스트하는 중에 다시 차단이되는바람에 29일로 업데이트되었다.

 

그래서 저거 두개를 IDA(디컴파일 툴)로 열어봤는데

 

ic-0.e 어쩌고 어쩌고 저파일이 

(C:\Users\BOURBONKK\appdata\Roaming\qhtxh\beaiz.vbs

 

이 경로에 같이 있던 파일들을 만들어주는 애였다..

리버싱하여 봤지만 경로나 파일안에 텍스트들이 하드코딩되어있기 때문에 어렵지 않게 볼수 있다.

 

하지만 분석 중에 V3가 삭제하고 계속차단해서 캡쳐를 못찍었다 ㅜㅜ (0530추가)

 

 

 

 

이게 ic-0.e 어쩌고 하는놈의 본체이다. 악성코드를 작성하는 프로그램인 것을 볼수가 있다.

 

이넘이 작성 함수다. 함수명은 noreturn ㅋㅋㅋㅋ

 

 

유사코드로 보게되면 이런식으로 되어있다.




여기는 스케줄러에 등록하는 부분을 작성해준다.

 

 

 

그러니까 정리하자면 itools_4_3_6.exe 진단명이

PUP/win32.ICLoader라고 되어있는데 이넘이 다운로드를 해주는 애다.

 

내가 iTools4를 크랙하려고 다운받은 파일을 실행할 때 저놈이 실행되었다.

 

 

 

 

바로 이넘이다.... 하 ... 이놈이 날 빡치게했다.. 재밌었으니 봐주긴하겠지만..

 

 

 

이놈이 로더고 다운로드를 실행한다.그리고

 

 

 

이놈이 악성코드를 작성하고 위에 분석한대로 run.cmd가 스케줄러에 저장하는 방식인것이다..

 

이넘을 나에게 뿌린 사이트는 바로....

 

 

 

 

 

요기다 시불.. 지금은 다운로드가 되지 않는다, 막혔다

 

꼴 좋다..

ㅋㅋㅋ

 



 

 

바이러스 토탈(https://www.virustotal.com/ko/)

에 검색해보니 오늘 업데이트된 아주 뜨끈뜨끈한 애였다..

 

어제(5/29)까지만해도 두근데 밖에 탐지가 안됬었는데 하루밤새에 이렇게 많이 업데이트가 됬다.

 

서트님들이 열일하시나보다.. 이제는 한국 백신도 탐지를할 수 있다.. 굿

 

 

아직 한국꺼는 탐지를 못한다.

 

이상