보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

상관분석을 이용한 BitCoin-Miner 악성코드 탐지

2018.10.01

5,098


 

 

기술지원센터 기술 1팀 김정엽

 

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.   

 

 

1. 개요

 

SPiDER TM에서 제공하는 상관분석 기능을 활용하면 악성코드의 여러 공격들간의 인과관계 분석을 통해 공격을 탐지하고 분석할 수 있다.

상관분석을 활용하여 BitCoin-Miner 악성코드를 탐지하는 방법을 알아보자.

 

 

2. 상관분석

 

1) 기존 경보의 제약 사항

 

  ㆍ 단편적인 경보를 통하여 탐지되는 정보의 한계

  ㆍ 이기종 장비에서 탐지되는 공격행위의 상관관계를 통한 분석의 한계

  ㆍ 공격의 유효성 확인의 어려움

 

 

2) 상관분석 기능 및 효과

 

  ㆍ 공격의 인과관계를 통하여 공격의 정오탐 여부를 검증

  ㆍ 단편적 정보가 아닌 복합적정보를 통하여 공격의 행위를 복합적으로 검증

 

 

3. 공격 시나리오

 

1) BitCoin-Miner 개요

 

최근 뉴스를 보면 비트코인에 관련된 신문기사를 자주 볼 수 있다. 확인할 수는 없으나 가까운 미래에 경제 및 금융에 많은 변화를 일으킬 가능성 매우 높은 재화가 비트코인이 아닌가 한다. 현재 이런 비트코인을 채굴하기 위해 많이 발생되는 공격형태를 SIEM의 상관분석의 기능으로 탐지 하고자 한다.

 

 

2) BitCoin-Miner 공격  시나리오

 

① 피해자의 유해 사이트 접근

② 웹사이트내에서의 감염

③ 피해 대상의 Drive By Download

④ PC에 설치된 APT 장비에서의 탐지

 

 

 

① 공격자는 취약점이 존재하는 웹 서버에 악성코드를 심어 넣고 공격대상을 기다린다.

② 감염대상은 공격자가 악성코드를 심어놓은 웹사이트를 직접 방문하는게 아니라 광고나 팝업 등 다양한 방법으로 감염대상에게 모르게 악성코드가 설치된다.

③ 악성코드는 탐지 형 보안장비를 통해 유입되면서 감염대상의 네트워크 내에 유입된다.

④ 네트워크로 유입되는 악성코드는 단말기에 사용자의 의도와는 상관없이 설치된다.

 

 

4. BitCoin-Miner 악성코드 상관분석

 

1) BitCoin-Miner 악성코드 상관분석 등록

 

① 상관분석 1단계

  - 내부사용자의 유해IP접근 (FW)

 

 

 

② 상관분석 2단계

  - IPS에서 Drive By Download 탐지 (IPS 패턴명 → Drive By Download)

 

 

 

③ 상관분석 3단계

  - APT 장비에서의 비트코인 마이너 탐지 (APT 탐지명 → Bitcoinminer)

 

 

 

 

2) 상관분석 시나리오 등록 및 탐지

 

① 상관분석 시나리오 룰 등록

  - 상관분석 룰명 – [상관분석] BitCoin-Miner 악성코드 탐지

 

1차 - 내부사용자의 유해IP접근 (FW) 

2차 - IPS에서 Drive By Download 탐지 (IPS 패턴명 → Drive By Download)  승계조건 : Source IP

3차 - APT 장비에서의 비트코인 마이너 탐지 (APT 탐지명 → Bitcoinminer)  승계조건 : Source IP

 

 

 

 

② 상관분석 경보 탐지



 

 

 

5. 로그 추적 분석을 활용한 Victim PC 추적

 

1) 상관분석에서 로그추적분석 단계로 전환

 

  - 발생된 상관분석 경보의 출발지IP에 마우스 우측 버튼으로 로그추적 분석 클릭

 

 


 

 

 

2) 로그추적분석을 활용한 Victim PC 추적

 

  - 분석 조건에 자동으로 출발지IP가 등록되어 보안장비에서 공격 플로우 이력 확인

 

 

6. 결론 - SPiDER TM 5.0 상관분석 기능 활용

 

SPiDER TM 5.0에서 제공하고 있는 상관분석 시나리오 룰을 이용하여 BitCoin-Miner 악성코드를 사전에 탐지하여 차단을 할 수 있다.

그러나 PC가 악성코드에 이미 감염되어 있어 비트코인을 자동으로 채굴해주는 프로그램이 실행 된다면 그럴듯해 보이는 서비스명과 설명으로 위장을 하기 때문에 찾아내기가 쉽지 않다.

또 BitCoinMiner가 실행되고 나면, CPU 점유율과 메모리 사용량이 급격하게 증가하여, PC의 성능이 두드러지게 저하된다.

따라서 사용자들은 이러한 악성코드에 감염이 되지 않기 위해, 출처가 불분명한 이메일에 있는 링크 및 첨부 파일에 대해 열람을 삼가 해야 하고 PC의 백신을 항상 최신 업데이트 상태로 유지를 해야 한다.​