앨퍼베이, 닭 넷 그리고 모네로라는 암호화폐
원문 2017.5.17
입력 2017.5.18.
[시사뷰타임즈] 세계가 울고싶다 악성몸값프로그램 공격으로 휘청대고 있는 가운데, 훨씬 더 클 것으로 생각되는 두 번 째 공격이 이미 진행 중이다. 군용 수준의 사이버 무기의 확산 증식이 디지틀 범죄의 새로운 시대로 안내하는 듯하다.
컴퓨터상의 노상강도들이 미국 국가안보국(NSA)의 개발 업적이었고 은밀한 중재자라는 해커들이 4월 풀어놓은 ‘영원한파랑’ 및 ‘두배의펄서’를 또 다시 뿌렸다.
프뤂포인트라는 컴퓨터보안회사의 캐페인이라는 별명의 보안언구원은 “초기 통계를 보면, 전세계적으로 수천대의 컴퓨터에 영향을 미치고 있는 이번 공격은 울고싶다보다 훨씬 더 대규모일 것으로 생각되는데: 이번 공격이 기존의 똑같은 취약점을 통해 장차 다른 악성프로그램(울고싶다 포함)에의 감염을 예방하기 위한 SMB 통신망을 정지시켜버렸기 때문인데, 이번 공격은 지난 주 울고싶다에의 감염을 제한했을 수도 있다”고 말했다.
이번 공격은 두 가지의 개발물을 사용하여 현지 기업들과 무선 통신망에 암호화된화폐 매립도구인 ‘아딜쿠즈’를 설치했지만, 묘하게도, 울고싶다의 확산을 사실상 늦추는데 도움을 준 것일 수도 있다.
하지만, “당신의 독을 집어라”는 명백한 사례에서, 아딜쿠즈 매립도구는 암호화된화폐를 추출하면서 극적으로 컴퓨터와 서버들의 속도를 늦추었지만 울고싶다처럼 사용자들이 컴퓨터나 자료에 접근을 못하도록 막지는 않았다.
프뤂포인트의 연구원들은 아딜쿠즈 공격이 일찌감치 4월24일 시작된 것일 수도 있지만 울고싶다 악성몸값프로그램 공격에 따른 강한 충격과 흥분 때문에 부각되지 않은 것이었던 듯 하다고 추정한다.
이번 공격은 이딜쿠즈 맹립도구를 설치할 수 있을 정도로 인터넷을 취약하게 만드는 다수의 개인 컴퓨터 서버에서 비롯된 것이다.
악성프로그램 감염은 다음과 같이 발생한다:
‘영원한파랑’은 대상으로 잡은 컴퓨터를 ‘두배의펄서’로 감염시킨다. 그리고 나서 ‘두배의펄서는 감염된 컴퓨터에 아딜쿠즈를 내려받아 가동시킨다.
이제 아딜쿠즈는 대상으로 잡은 컴퓨터에 존재하는 기존 아딜쿠즈판을 정지시키며 한편으로는 다른 컴퓨터와 소통할 수 있게 하는 SMB 통신망을 막아 버림으로써, 자신의 작동을 어지럽힐 수 있는 그 어떤 다른 악성프로그램에도 감염되지 못하도록 한다.
일단 감염의 문이 활짝 열려있고 감지될 위험이 최소화되면, 아딜쿠즈는 매립을 위한 도구들 즉, 암호화된하폐 매립도구 자체와 다양한 청소도구 등을 내려 받아 자신의 활동을 위장한다.
암호화된화폐라는 용어가 대표적으로 빝코인과 관계있는 것이지만, 아딜쿠즈는 ‘모네로(이침성교시간)’이라는 빝코인과 유사하지만 더욱 어렵게 암호화된 화폐를 심어놓는다. 모네로는 ‘앨퍼베이 시장’ 및 ‘닭 웹’에서 채택된 뒤 최근 사용빈도가 꽤 상승했다.
[시사뷰타임즈 주]
앨퍼베이 시장: 앨퍼베이 시장은 토어(Tor) 통신망 상에 있는 온라인 상의 닭 웹이다. 2014년 11월 가설립했지만 공식적으로는 2014년10월22일 문늘 열었다. 시작한 지 90일 만에 가입자가 14,000명이 었으며 꾸준히 성장하고 있다.
닭 웹(darknet): 기존의 포털 검색 도구로는 접근이 불가능한 것이며 ‘월드와이드 웹’의 일종으로 분류되며 주로 범죄에 활용된다.
다른 암호화된회폐들과 마찬가지로, 모네로는 디지틀 매립의 과정을 거치며 자가확산을 통해 시장 한도액을 정한 상태로 확대된다. 현재 환율로 1 모네로는 대략 27달러에 해당된다.
프뤂포이트사는 연구하는 동안, 컴퓨터를 정지시키기에 앞서, 각각 7천 달러, 14,000달러 그리고 22,000달러를 요구하는 세 개의 웹 주소를 밝혀냈다.
자신들의 발자취를 가리기 위해, 공격 뒤에 누가 도시리고 잇건 그들은 정기적으로 온라인 지불 주소를 바꿔가면서 너무 지나치게 주목받는 것을 피한다.
울고싶다의 공격 사례에서와 마찬가지로, 해커들은 미국 국가안보국이 마이크로솦트사의 유산인 운영체제로 만든 무기화된 개발품을 이용하여 악성프로그램으로 전세계 컴퓨터 수십만대를 감염시켰다. 은밀한중재자라는 해커들이 미 국가안보국의 개발품을 누출시킨 이래, 두 가지의 유명한 공격을 해왔는데 차후 더 많은 공격이 예상된다.
WannaCry XXL? 2nd even bigger global cyber attack already underway
Published time: 17 May, 2017 20:57
© Silas Stein / DPA / Global Look Press
As the world reels from the WannaCry ransomware attack, it’s now emerged that a second, potentially larger attack, is already under way. It seems the widespread proliferation of military-grade cyberweapons has ushered in a new era of digital crime.
Cyber bandits have again deployed both the EternalBlue and DoublePulsar exploits developed and used by the NSA which were released by the ShadowBrokers hackers back in April.
“Initial statistics suggest that this attack may be larger in scale than WannaCry, affecting hundreds of thousands of PCs and servers worldwide: because this attack shuts down SMB networking to prevent further infections with other malware (including the WannaCry worm) via that same vulnerability, it may have in fact limited the spread of last week's WannaCry infection,” wrote a security researcher who goes by the alias Kafeine at cybersecurity company Proofpoint.
This latest attack uses the two exploits to install the cryptocurrency miner Adylkuzz over corporate Local Area and wireless networks but, rather curiously, may actually have helped slow the spread of WannaCry.
However, in an apparent case of “picking your poison,” the Adylkuzz miner dramatically slows PC and server performance as it extracts cryptocurrency but it does not lock users out of their machines and data, as WannaCry did.
Researchers at Proofpoint estimate that the Adylkuzz attack may have begun as early as April 24 but was subsequently overshadowed in the hysteria that followed the WannaCry ransomware attacks.
The attack is launched from multiple virtual private servers which scour the internet for vulnerabilities to install the Adylkuzz miner.
The malware infection occurs as follows:
The EternalBlue exploit opens the door for infection with DoublePulsar on a target machine. DoublePulsar then downloads and runs Adylkuzz on the computer.
Adylkuzz then stops any preexisting versions of itself on a target machine, while also blocking SMB network communications with other machines to prevent any further malware infections from disrupting its operations. It initially prevents cybersecurity professionals from identifying that there is a problem.
Once the door has been held open and detection risks have been minimized, Adylkuzz then downloads mining instructions, the cryptocurrency miner itself and a variety of cleanup tools to mask its activities.
While the term cryptocurrency is typically associated with Bitcoin, Adylkuzz actually mines Monero, a similar but more heavily encrypted digital currency. Monero recently saw a significant uptick in usage after it was adopted in the AlphaBay market on the Dark Web.
As with other cryptocurrencies, Monero expands in market cap through self-proliferation via digital mining. One monero is roughly equivalent to $27 at current exchange rates.
During its research, Proofpoint identified three addresses which had already generated $7,000, $14,000 and $22,000 respectively, before being shut down.
To cover their tracks, whoever is behind the attack regularly changes the online payment address to avoid attracting too much attention.
As in the case of the WannaCry attack, hackers have leveraged the NSA’s weaponized exploits of legacy Microsoft operating systems to infect hundreds of thousands of machines worldwide with malware. Since the Shadow Brokers’ leak of these NSA exploits there have been two high profile attacks with many more expected in the future.
[기사/사진: RT]
[이 게시물은 SVT님에 의해 2017-05-21 13:30:24 [ TOP ISSUE ]에서 이동 됨]