비트코인 강제 채굴 악성코드 BitCoin Miner (비트코인마이너) 주의

작성자 : DSSa / 날짜 : 2018.02.14 17:36 / 카테고리 : 차세대 위협감지 - 다크트레이스

최근 암호화폐에 대한 관심이 뜨거워지면서, 암호화폐의 대장격이자 가장 비싼가격을 자랑하는 비트코인을 얻기 위한 다양한 범죄가 증가하고 있습니다. 기존 보유자의 거래소나 지갑을 해킹하여 강탈하는 사건이 많았습니다.


이것과는 다르게 발전된 형태로, 비트코인을 채굴하는 악성코드가 요즘 기승을 부리고 있습니다. 기존의 컴퓨터의 자원을 무단으로 탈취하여 DDos 공격을 했던 좀비 피시처럼 이번에는 사용자와 기업의 피시를 감염시켜 비트코인 채굴 연산을 하여 돈을 탈취하는 신종 범죄가 기승을 부리고 있습니다.



비트코인은 탈중앙화된 화폐로 기존의 중앙은행에서 발행하는 화폐가 아닙니다. 비트코인은 비트코인 네트워크 (블록체인)을 유지하기 위한 조건으로 CPU / GPU 연산을 하여 암호화 수학연산을 하게되고 이를 하게되면 보상으로 비트코인을 배분합니다.


하지만 이러한 채굴행위는 막대한 컴퓨터 장비 가격과 전기료를 부담해야 합니다. 그리고 컴퓨터 및 그래픽카드의 수명 문제도 있습니다. 


APT 공격을 통해서 한 기업의 컴퓨터에 침투하여 한 회사의 네트워크를 통해서 모든 기업의 피시를 장악 후 BitCoin Miner (비트코인마이너)가 돌게 된다면 막대한 손실을 입게 됩니다. 회사 모든 피시와 네트워크 인프라는 오버로드에 걸릴 것이며, 생산성이 저하되고 장애가 발생하게 됩니다.


비트코인마이너는 WMI 및 NAS에서 유출된 이터널블루를 통해서 컴퓨터 장악 후 악성코드를 감염하여 비트코인을 채굴합니다. 비트코인 마이너는 아시아 태평양 지역을 집중적으로 노리도록 설계되었으며, 아래와 같은 메커니즘으로 동작합니다.




비트코인 마이너 악성코드 실행 메커니즘

1. WMI (Windows Management Instrumentation)를 사용을 하면 scrcons.exe로 악성코드 실행

2. 이터널블루(EternalBlue)를 사용하여 MS17-010 취약점 공격

3. BKDR_FORSHARE.A에서 백도어를 삭제

4. 실행 후 C&C 서버에 연결하여 CrytoCurrency Miner 악성코드를 다운로드 / 실행


실행이 되면 악성코드를 감염된 컴퓨터는 CPU, GPU 및 기타 리소스를 사용하여 암호화폐 연산을 하게되며 감염된 사용자의 컴퓨터는 오버로드가 걸리게 됩니다. 이에 대한 수익은 해당 악성코드를 배포한 사람에게 돌아가게 됩니다.


다크트레이스는 인공지능 머신러닝 기반의 보안 솔루션으로 비트코인 마이너 악성코드를 방어할 수 있습니다. 차세대 엔터프라이즈 면역 시스템으로도 불리우는 다크트레이스는 기존의 안티바이러스가 데이터베이스 기반으로 악성코드를 판별하는데 있어서 신종/변종 등을 방어 할 수 없다는 한계점을 인지하고 기존 시그니처 기반의 보안 솔루션의 문제점을 보완한 보안 솔루션입니다.



정책과 시그니처, 룰을 기반으로 한 심층방어체계는 새로운 공격와 위협이 발생할 경우에는 방어수단의 확보시까지 발견하기 어렵고 시간이 많이 소요될 수 밖에 없습니다. 이상행위를 발견하고 대응할 수 있는 보다 폭넓은 가시성의 확보가 필요합니다.


2013 Data Breach Investigation Report by Verizon에 따르면 보안사고의 약 60%는 수 시간내에 발생하지만 보안사고의 약 54%는 수개월 이상 미발견된다고 합니다.


사람의 면역체계를 통해서 정상상태를 알고 있습니다. 그리고 이를 통해서 스스로 아픈 곳을 인지하고 대응합니다. 보안시스템도 마찬가지 입니다. 정상적인 상태를 미리 인지하고 알고 있다면 비정상적인 행위는 쉽게 탐지할 수 있습니다.


그렇다면 방대한 데이터흐름에서 정상적인 상태를 정확하게 분류할 수 있는 기술은 무엇일까요? 다크트레이스는 이러한 해답을 제시할 수 있습니다.



\


다크트레이스의 원리 : 정상행위 자동 학습을 통해 비정상행위를 탐지하고 방어


1. 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

위협에 대한 개별요소들의 종합적인 연관상태를 분석하고 학습하여 정상상태와 비정상적인 상태를 식별한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지하지 못한 위협과 공격을 식별합니다.시스템은 네트워크의 정상적인 상태를 학습하여 위협에 민감하게 반응하고 대응할 수 있는 보안 ‘면역체계”를 강화할 수 있습니다.


2. 네트워크, 사용자, 디바이스에 대한 수학적 확률엔진의 ‘비정상적 행위’ 순환적 확률 추론

베이지안 순환 확률 모형(RBE), 순차적 몬테카를로(sMC), LASSO 모델등을 통해 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산하여 지속적으로 ‘정상’상태를 확인하고 계산합니다.


인체의 면역기능을 응용한 네트워크, 사용자, 디바이스 기반 정상행위 학습기반의 건강을 면역체계 구축 가능



다크트레이스 솔루션의 아키텍쳐는 아래와 같습니다.

사용자 + 디바이스 + 네트워크 행위 학습/추론/시각화를 통해서 엔터프라이즈 면역시스템을 구축

면역시스템 플로우

데이터캡쳐 및 통합 (실시간 전체 트래픽 수집) ▶ 순환 베이지안 추정 (비지도기반 수학적 탐지) ▶ 위협시각화 (3D 토폴로지 기반 네트워크 투시) ▶ 연동



다크트레이스 PoV 소개

4주간의 Proof of Value (POV)를 통하여 다크트레이스의 Enterprise Immune System 과 Threat Visualizer에 대한 더 나은 이해 및 평가를 할 수 있습니다. 다크트레이스가 발견한 비 정상 행위에 대하여 세계최고의 전문가 집단의 분석 리포트를 제공함과 동시에 기존에 발견하지 못한 조직 내에 존재하는 보안 위협에 대한 가시성을 갖을 수 있습니다.


위협 가시성 확보

 알지 못하던 위협의 탐지

 보안위협 보고서

 - 조직의 모든 네트워크 및 장비들과 그들의 통신이 어떻게 이뤄지고 있는지 알 수 있습니다.


 - 네트워크, 디바이스, 사용자 단위로 줌인 (Zoom-in)하여 상세히 들여다 볼 수 있습니다.


 - 최선의 방어는 최고수준의 가시성(이해)로

부터 시작됩니다.

 - 머신러닝 기반의 위협 탐지 시스템으로 기존에 알 수 없던 위협을 탐지할 수 있습니다.


 - 현 조직에 위협이 되는 보안의 최우선순위(Topp Priority)를 나열 해 드립니다.


 - 보안 위협을 초기에 제압하여 조직의 리스크를 최소화 할 수 있습니다.

 - CIA/MI5 출신의 세계 최고의 보안 전문가의 무료 보고서 서비스를 제공합니다. (POV 기간에 한정)


 - Threat Intelligence Report는 주간으로 제공됩니다.


 - 발견된 보안 위협을 대처하는 방안에 대하여 전문가의 조언을 받을 수 있습니다.




아이마켓코리아에서는 상담을 요청하시는 분들에게 다크트레이스 무료진단 PoV를 진행할 수 있는 프로모션을 1개월 진행합니다. 여기에는 다크트레이스 무상장비 대여 및 설치 내용도 포함됩니다.


다크트레이스 PoV를 통해 네트워크 및 장비들에 대한 리스크를 진단하고 비트코인 마이너와 같은 각종 악성코드를 방어하시기 바랍니다. 관련 문의는 하단의 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/11   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

방문자 통계

  • 전체 : 378,458
  • 오늘 : 113
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.