크립토재킹의 조용한 위협과 자신을 보호하는 방법

귀하의 장치가 귀하도 모르는 사이에 암호화폐를 채굴할 수 있습니다. 지금 바로.

이를 크립토재킹(cryptojacking)이라고 하며, 많은 사이버 범죄자들이 암호화폐의 인기가 높아지고 암호화폐 채굴로 인한 이익을 얻기 위해 이 교활한 행위에 눈을 돌렸습니다.

오늘날 우리는 전 세계에 20,000개 이상의 암호 화폐를 보유하고 있으며 가치는 1조 달러 이상입니다. 이러한 암호 화폐를 채굴하는 것은 돈을 만드는 과정입니다. 그것은 수익성 있는 수익을 제공하지만 쉬운 일이 아닙니다. 하드웨어, 중단 없는 전기, 엄청난 계산 능력이 필요합니다.

사이버 범죄자가 암호화 채굴의 이 문제를 극복하는 한 가지 방법은 크립토재킹입니다. 그들은 보상을 거두지만 당신은 그것을 깨닫지도 못한 채 비용을 지불합니다.

크립토재킹을 방어하려면 사이버 보안 프로그램을 강화해야 합니다. 바이러스 백신 보호, 런타임 애플리케이션 자체 보호(RASP) 소프트웨어 및 웹 애플리케이션 방화벽(WAF) 솔루션과 같은 소프트웨어를 사용해야 합니다. 그러나 강력한 보안 방어를 수정하려면 크립토재킹을 자세히 이해하는 것이 중요합니다.

그리고 그것이 우리가 이 글을 통해 당신을 도울 것입니다. 우리는 크립토재킹의 어두운 세계를 탐험하고 그것이 어떻게 작동하는지 자세히 살펴볼 것입니다. 또한 크립토재킹 시도를 감지하는 방법과 이 은밀하고 비용이 많이 드는 사이버 범죄의 희생양이 되지 않도록 장치를 보호하기 위해 할 수 있는 일에 대해서도 알아봅니다.

크립토재킹은 어떻게 작동합니까?

cryptojacking에 대해 자세히 알아보기 전에 cryptocurrencies 및 crypto mining의 기본 사항부터 시작하겠습니다. 이는 크립토재킹이 작동하는 방식을 이해하는 데 중요합니다.

암호화폐 및 암호화폐 채굴: 입문서

2009년, 사토시 나카모토라는 신비한 개발자가 최초의 디지털 통화인 비트코인을 채굴했습니다. 10년을 빨리 감고 암호화폐 시장은 호황을 누리고 있습니다.

오늘날 우리는 많이 찾는 비트코인을 제외하고 이더리움, 테더, 솔라나, BNB, XRP, 심지어 도지코인과 같은 암호화폐를 보유하고 있습니다. 암호화폐 애호가들은 암호화폐가 매우 가치 있다고 생각하여 비트코인 ​​초기부터 암호화폐 가격이 치솟았습니다. 이러한 높은 가격은 암호화폐를 얻는 방법인 암호화폐 채굴을 매우 수익성 있게 만들었습니다.

해시를 추측하는 이 프로세스에는 계산 능력이 필요합니다. 암호화폐의 수익성이 높을수록 해시가 더 어렵고 계산 능력이 더 필요합니다.

오늘날 암호화 마이너는 암호화 마이닝 소프트웨어와 FPGA(Field-Programmable Gate Array) 또는 특수 ASIC(Application-Specific Integrated Circuit)와 같은 강력한 컴퓨터 칩을 사용하여 암호화를 마이닝합니다. 일부 다른 채굴자들은 컴퓨팅 리소스를 채굴 풀에 묶고 새로 채굴된 블록에 대해 얻은 수익을 공유합니다.

크립토재킹의 해부학

이제 크립토재킹은 불법적인 크립토 마이닝 방법입니다. 해커는 자신의 리소스를 사용하지 않습니다. 대신 피해자의 플랫폼에 크립토재킹 맬웨어를 배포하여 의심하지 않는 사용자의 컴퓨팅 성능을 훔칩니다.

여기서 크립토재킹 악성코드는 사용자 모르게 또는 허가 없이 디바이스에서 불법적으로 암호화폐를 채굴하는 악성코드이다. 웹 사이트에 포함된 간단한 JavaScript 코드이거나 장치에 로컬로 포함된 맬웨어일 수 있습니다.

해커는 사용자가 무의식적으로 클릭할 수 있는 웹 페이지 및 온라인 광고에 악성 코드를 첨부하거나 사회 공학 기술을 사용하여 피해자의 컴퓨터에 설치하는 등 다양한 방법을 통해 이러한 악성 코드를 활용합니다.

• 크립토 멀웨어가 장치에 설치되고 활성화되면 인터넷 또는 API(애플리케이션 프로그래밍 인터페이스)를 통해 마이닝 풀에 직접 연결됩니다.
• 장치는 해결해야 할 해시 퍼즐 작업을 받습니다.
• 해시 값이 계산되면 마이닝 풀로 다시 전송됩니다.
• 새로운 블록이 블록체인에 추가되면 공격자는 에너지나 자원을 소비하지 않고 보상을 받습니다.

크립토재킹 공격 유형

브라우저 내 크립토재킹, 호스트 내 크립토재킹 및 메모리 내 크립토재킹의 세 가지 주요 유형의 크립토재킹이 발생합니다. 세 가지를 모두 살펴보겠습니다.

브라우저 내 크립토재킹

일반 컴퓨터는 암호 화폐를 채굴하지 못할 수 있습니다. 그러나 인터넷을 통해 연결된 수천 대의 일반 컴퓨터는 쉽게 작업을 수행할 수 있습니다. 브라우저 기반 또는 브라우저 내 암호화 마이닝은 바로 이를 시도합니다. 단순히 웹사이트 방문자의 컴퓨터를 사용하여 탐색하는 동안 암호화폐를 채굴합니다.

여기에서 해커는 Coinhive 또는 CryptoLoot와 같은 서비스 제공업체의 즉시 채굴할 수 있는 스크립트를 사용하고 코드를 웹 사이트의 HTML 소스 코드에 삽입합니다.

피해자가 온라인 상태를 유지하는 한 채굴이 발생합니다. 브라우저 내 크립토재킹은 사용자가 웹사이트에 5.53분 이상 머무를 때 수익성이 있습니다. 결과적으로 무료 영화나 게임 웹사이트에서 널리 사용됩니다.

출처: SoK: Crypotjacking 멀웨어 - arXiv

브라우저 기반 크립토재킹은 2019년 크립토 시장 침체기에 주요 크립토 마이닝 스크립트 제공업체인 CoinHive가 문을 닫았을 때 엄청난 감소를 보였습니다. 그러나 연구자들은 의도적으로 또는 의도하지 않게 이를 사용하는 새로운 크립토 마이닝 스크립트 및 웹 사이트를 계속 찾고 있습니다.

호스트 내 크립토재킹

이러한 유형의 크립토재킹에서 해커는 기존의 트로이 목마와 같은 크립토 멀웨어를 설치합니다. 예를 들어, 피싱 이메일의 첨부 파일은 암호화 마이닝 코드를 디스크에 직접 로드하여 컴퓨터를 감염시킬 수 있습니다.

암호화 마이닝 스크립트 외에도 공격자는 불법적으로 암호화를 마이닝하기 위해 XMRig와 같은 여러 플러그 앤 플레이 스타일 마이닝 응용 프로그램을 수정합니다.

해커는 취약성 또는 사회 공학 기술을 사용하거나 호스트 장치에서 의도하지 않은 다운로드(드라이브 바이 다운로드 기술)의 페이로드로 맬웨어를 호스트 시스템에 전달합니다.

출처: SoK: Crypotjacking 멀웨어 - arXiv

예를 들어, 해커는 최근 암호화폐 채굴 악성코드를 Google 번역 앱의 데스크톱 버전으로 위장했습니다. 개인용 컴퓨터(PC)용 Google 번역을 검색하는 수천 명의 사용자가 다운로드했습니다. 그러나 일단 설치되면 사용자 모르게 Monero 암호 화폐를 채굴할 수 있는 정교한 설정이 이루어집니다.

인메모리 크립토재킹

인메모리 크립토재킹은 호스트 기반 크립토재킹과 동일한 감염 방법을 사용합니다. 그러나 크립토재킹 멀웨어는 일반적으로 파일리스 멀웨어이며 RAM(Random Access Memory)에서 실행됩니다. 합법적인 로컬 응용 프로그램이나 사전 설치된 도구를 오용합니다.

결과적으로 크립토재킹 스크립트는 시스템에 흔적을 남기지 않아 탐지 및 제거가 어렵습니다. 공격자가 파일 없는 맬웨어를 사용하는 시스템 내부에 있으면 액세스 권한을 활용하여 피해자의 네트워크에서 권한을 높이고 피해자의 중앙 처리 장치(CPU) 리소스 풀을 확보하여 불법적으로 암호화를 채굴합니다.

공격자는 이 방법으로 명령 및 제어 권한을 얻을 수 있으므로 파일리스 크립토재킹도 랜섬웨어 공격으로 전환될 수 있습니다.

예를 들어 Mehcrypt는 파일리스 크립토재킹 멀웨어입니다. notepad.exe 및 explorer.exe와 같은 여러 합법적인 응용 프로그램을 남용하여 크립토재킹 루틴을 수행합니다.

크립토재킹의 역사와 진화

초창기부터 암호화폐 채굴자들은 그들의 부담을 줄이는 암호화폐를 채굴하기 위한 추가 계산 능력을 얻는 새로운 방법을 개발했습니다. 그 방법 중 하나는 브라우저 기반 암호화 마이닝이었습니다.

2011년 처음 도입되었을 때 브라우저 기반 암호화 채굴은 브라우저 내 광고의 대안으로 홍보되었습니다. 그리고 왜 사람들은 그것을 좋아하지 않을까요? 웹 사이트에서 방해가 되는 광고를 보는 대신 암호화 채굴자에게 컴퓨터를 빌려주는 대가로 깨끗한 브라우징 경험을 얻을 수 있습니다. 간단하고 간단합니다. 합법적인 것 같죠?

그것이 처음에 다른 많은 사람들이 생각한 것입니다. 많은 암호화 애호가와 웹 사이트 소유자가 웹 사이트에 마이닝 스크립트를 추가하여 브라우저 내 마이닝을 사용했습니다. 그러나 브라우저 기반 채굴은 곧 해커와 사이버 범죄자들에 의해 남용되었습니다. 특히 2017년 코인하이브 출시 이후 악명이 높아졌다.

코인하이브와 크립토재킹의 부상

Coinhive는 암호화폐 채굴 스크립트 제공업체였습니다. 2017년에는 브라우저 내 암호화 마이닝을 사용하여 비트코인과 유사한 암호화폐인 모네로(XMR)를 채굴하는 간단한 JavaScript를 출시했습니다.

일반적으로 JavaScript는 웹 페이지가 로드되면 자동으로 실행됩니다. 호스트에서 실행되는 웹 브라우저에 JavaScript가 활성화되어 있는 한 플랫폼 독립적이며 모든 호스트(PC, 휴대폰, 태블릿)에서 실행됩니다.

결과적으로 모든 웹사이트는 자신의 사이트에 Coinhive JavaScript를 내장하고 웹사이트 방문자의 컴퓨터를 광산으로 만들 수 있습니다. 코인하이브는 채굴된 모네로의 30%를 수수료로 가져갔고 웹 페이지 소유자는 나머지를 가져갔습니다.

추가 투자 없이 대규모 사용자 집단에게 암호화폐 채굴을 출시하는 쉽고 확장 가능하며 노력이 적은 방법은 파괴적이었습니다. 많은 암호화 애호가들이 코드를 쉽게 채택했습니다.

그러나 Coinhive의 비즈니스 모델이 합법적인 것으로 선전되었지만 머지 않아 코드가 남용되었습니다. 일부 웹사이트 소유자는 Coinhive 스크립트를 사용하여 XMR을 채굴하기 위해 허가 없이 사용자의 처리 능력을 탈취했습니다.

웹사이트 소유자를 제외하고 악의적인 행위자는 트래픽이 많은 웹사이트에서 암호화폐 채굴 코드를 해킹하고 삽입했습니다. 그들은 또한 Archive Poster와 같은 브라우저 확장 프로그램과 Browsealoud와 같은 웹사이트 플러그인에 스크립트를 설치했습니다.

이러한 방법을 통해 Coinhive의 코드는 Showtime, The Los Angeles Times, Blackberry 및 Politifact와 같은 유명 회사의 웹 사이트에 불법적으로 침투했습니다. 그들은 허가 없이, 때로는 웹사이트 소유자 모르게 브라우저 내 암호화 마이닝을 실행하여 사이트와 사용자의 컴퓨터 리소스를 효과적으로 하이재킹했습니다. 미국, 영국, 인도 정부의 웹사이트도 이러한 크립토재킹 공격에 영향을 받은 것으로 나타났습니다.

다른 사람의 컴퓨팅 파워로 암호화폐를 채굴하는 것은 활동에 대한 명확한 알림이 표시되고 사용자에게 옵트아웃 가능성이 있는 경우 불법으로 간주되지 않는다는 점에 유의해야 합니다. 그러나 대부분의 브라우저 내 암호화 마이닝에는 이러한 기능이 없으므로 불법으로 간주됩니다.

2017년부터 불법 암호화폐 채굴 사례가 증가하면서 암호화재킹이 주류의 주목을 받게 되었습니다. 사이버 범죄자들은 ​​불법 브라우저 기반 암호화 채굴을 사용하기 시작했을 뿐만 아니라 불법 암호화 채굴을 위해 맬웨어 및 기타 방법을 사용했습니다.

일부 크립토 마이너가 크립토재킹을 하는 이유는 무엇입니까?

이걸 고려하세요. 2009년에 Intel Core i7 프로세서가 장착된 PC는 매일 약 50개의 비트코인을 채굴할 수 있었습니다. 그러나 오늘날 비트코인과 같은 암호화폐를 채굴하려면 ASIC 시스템과 같은 특수 채굴 장비가 필요합니다.

또한 많은 암호화폐는 채굴할 수 있는 코인 수와 채굴자가 받는 보상에 제한이 있습니다. 이 혼합물에 치솟는 에너지 가격을 추가하십시오. 비트코인 1개는 811.90킬로와트시가 필요하며, 이는 미국 가정에서 28일 동안 소비하는 평균 에너지량에 해당합니다. 이 모든 것이 암호화폐 채굴을 비용이 많이 드는 일로 만듭니다. 오늘날 집에서 비트코인을 채굴하는 것은 선택 사항이 아닙니다.

이러한 상황에서 합법적인 자원으로 암호화폐 채굴로 수익을 창출하는 것은 어려울 수 있습니다. 결과적으로 해커는 피해자의 시스템을 하이재킹하여 다른 사람에게 비용을 떠넘기려고 합니다.

크립토재킹에 관심을 가져야 하는 이유는 무엇입니까?

미리 경고합니다. 크립토재킹의 위험성을 알고 실제 공격에 직면했을 때 더듬거리는 것보다 대비하는 것이 좋습니다.

자신의 존재를 알리는 다른 많은 사이버 보안 위협과 달리 크립토재킹은 완전한 침묵 속에서 성공합니다.

“크립토재킹은 장치의 성능을 크게 저하시키고 수명을 단축하며 에너지 소비를 증가시킵니다. 설상가상으로 이를 가능하게 하는 맬웨어는 훨씬 더 정교한 사이버 공격의 관문 역할을 할 수 있습니다.”

아말 조비
사이버 보안 연구 분석가, G2

더욱 우려되는 점은 오늘날 공격자들이 개인 장치가 아닌 더 많은 처리 능력을 가진 장치를 표적으로 삼고 있다는 것입니다. 일부 예로는 엔터프라이즈 클라우드 인프라, 서버, 부적절하게 보호되는 수많은 IoT 장치 또는 Docker 및 Kubernetes 컨테이너가 있습니다. 이를 통해 공격자는 더 짧은 시간에 더 많은 이익을 얻는 것을 목표로 합니다.

기업의 경우 이는 광범위한 영향을 미칩니다. 크립토재킹으로 벌어들인 1달러당 피해자에게 53달러가 청구됩니다. 위험은 부풀려진 청구서로 끝나지 않습니다. 기업 인프라 내부에 들어가면 공격자는 언제든지 액세스 권한을 활용하여 랜섬웨어 및 공급망 공격과 같은 다른 위험한 사이버 공격을 수행할 수 있습니다.

크립토재킹 공격을 탐지하는 방법

크립토재킹 공격은 종종 숨겨져 있지만 식별할 수 없습니다. 이러한 방법 중 일부를 시도하여 크립토재킹 공격을 탐지하십시오.

장치에서 크립토재킹 공격을 탐지하는 방법

PC 또는 모바일 장치에서 다음과 같은 징후를 발견하면 장치가 크립토재킹되었을 수 있습니다.

성능 저하

크립토재킹으로 인해 장치가 상당히 느려지거나 매우 자주 충돌합니다. 비정상적으로 낮은 장치 성능이 감지되기 ​​시작하면 바이러스 백신 소프트웨어를 사용하여 시스템을 검사하여 크립토재킹 맬웨어가 있는지 확인하십시오.

과열

크립토재킹의 또 다른 징후는 과열입니다. 크립토재킹은 너무 많은 처리 능력을 소모하기 때문에 쉽게 시스템을 과열시키고 배터리를 소모시킵니다. 장치를 식히기 위해 시스템의 팬이 평소보다 더 빠르게 작동하는 것을 볼 수 있습니다. 또는 과열로 인해 휴대폰 배터리 성능이 저하되고 빠르게 소모될 수 있습니다.

CPU 사용량

또 다른 눈에 띄는 증상은 높은 CPU 사용량입니다. 컴퓨터는 시스템에서 실행 중인 모든 응용 프로그램의 기록을 보관합니다. 작은 작업을 수행하거나 무해한 웹 사이트를 탐색하는 동안 CPU 사용량이 급증하는 것을 발견했다면 크립토재킹 때문일 수 있습니다.

범죄자들은 ​​CPU 사용량이나 인터넷 트래픽의 급증을 숨기기 위해 정교한 회피 기술을 생각해 냈습니다.

클라우드 환경에서 크립토재킹 공격을 탐지하는 방법

회사가 클라우드 사용에 대한 가시성이 낮은 경우 크립토재킹을 감지하기 어려울 수 있습니다. 그러나 기업은 이 문제를 해결하려고 시도할 수 있습니다.

클라우드 액세스 제어 감사

클라우드에 대한 대부분의 사이버 공격은 잘못 구성된 클라우드에서 시작되므로 액세스 제어를 감사하십시오. 클라우드 환경에 대한 안전하지 않거나 잘못 구성된 모든 항목을 추가로 조사하여 불법 암호화 마이닝과 같은 악의적인 활동이 있는지 확인할 수 있습니다.

클라우드 네트워크 로그 분석

네트워크 로그는 클라우드로 들어오고 나가는 트래픽을 추적하고 네트워크의 현재 상태와 누가 어디에서 연결하는지 보여줍니다. 이 기록을 분석하십시오. 불규칙한 네트워크 동작이나 갑작스러운 트래픽 급증을 인식할 수 있습니다. 이는 클라우드 환경에서 실행되는 불법 암호화 채굴기의 신호일 수 있습니다.

클라우드 지출 모니터링

부풀려진 클라우드 청구서는 클라우드 리소스 사용량이 합법적으로 증가했거나 누군가가 자신의 이익을 위해 클라우드 리소스를 훔쳤다는 신호입니다. 클라우드를 잘못 관리한 것이 없다면 클라우드 요금의 급증을 조사하여 크립토재킹과 관련이 있는지 확인하십시오.

명확히 하기 위해 이러한 모든 방법은 클라우드가 어떤 식으로든 손상되었는지 여부를 알려줍니다. 침해가 불법 암호화 채굴자 또는 기타 사이버 공격으로 인한 것인지 알아내기 위해 악의적인 활동에 대한 추가 분석을 수행해야 합니다.

크립토재킹 공격으로부터 장치를 보호하기 위한 팁

예방이 치료보다 낫습니다. 따라서 이러한 실용적인 팁을 사용하여 크립토재킹 공격으로부터 시스템을 보호하십시오.

• 강력한 바이러스 백신 프로그램을 사용하여 악의적인 활동이나 맬웨어를 탐지하십시오.
• Miner Block 및 Anti-Miner와 같은 안티 암호화 마이닝 확장 프로그램을 사용하여 브라우저 기반 암호화 마이닝을 방지하십시오.
• 웹 사이트에서 원치 않는 팝업 광고 및 배너 광고를 차단하려면 광고 차단기를 설치하십시오. 크립토 마이닝 멀웨어는 종종 광고에 삽입됩니다.
• 시스템을 업데이트하고 모든 최신 소프트웨어를 설치하여 취약점을 패치하십시오.
• 악성 스크립트가 로드되지 않도록 브라우저에서 JavaScript를 비활성화할 수도 있습니다. 그러나 이것은 사용자 경험을 희생합니다.

기업의 경우 크립토재킹 공격을 방지하는 것은 이러한 기본 단계를 다루는 것 이상입니다. 불법 암호화 마이닝으로부터 IT 자산을 보호하려면 다음 보안 관행을 채택하십시오.

• 펌웨어 업데이트 및 패치 설치: 소프트웨어 공급업체가 출시하는 즉시 시스템 소프트웨어를 업데이트하십시오.
• 강력한 ID 및 액세스 관리(IAM) 정책 보유: 효과적인 IAM은 온프레미스 또는 클라우드에서 시스템에 대한 무단 액세스로부터 보호합니다. 권한이 있는 사용자에게만 액세스를 허용하고 허가 수준을 관리하도록 IAM 소프트웨어를 배포합니다.
• 엔드포인트 보안: 랩탑, 워크스테이션, 서버 및 휴대폰과 같은 최종 사용자 장치는 회사 네트워크에 대한 액세스 지점 역할을 합니다. 악성 소프트웨어가 장치를 감염시키지 못하도록 강력한 엔드포인트 보안 소프트웨어를 사용하여 장치를 보호하십시오. 모바일 장치를 통해 기업 네트워크에 대한 액세스를 보호하는 모바일 데이터 보안 솔루션을 사용할 수도 있습니다.
• 네트워크 모니터링: 모든 네트워크 로그를 실시간으로 주의 깊게 분석하고 악의적인 활동을 찾습니다. WAF 및 SIEM(보안 정보 및 이벤트 관리) 소프트웨어와 같은 도구를 사용하여 네트워크 및 엔드포인트에 대한 직접적인 가시성을 확보하여 비정상적인 동작이나 무단 사용을 감지합니다. RASP 도구를 활용하여 애플리케이션 런타임 환경에서 실시간으로 공격을 탐지하고 방지합니다.
• 클라우드 보안 솔루션 배포: 클라우드 액세스 제어용 CASB(클라우드 액세스 보안 브로커) 소프트웨어 및 CSPM(클라우드 보안 상태 관리) 소프트웨어와 같은 추가 클라우드 보안 솔루션을 사용하여 잘못된 클라우드 구성을 찾을 수 있습니다.
• 직원 교육: 직원을 위한 사이버 보안 교육 프로그램을 채택하고 피싱과 같은 사회 공학 공격에 대해 인식하도록 합니다.
• 제로 트러스트 모델 채택: 아무도 믿지 마십시오. 모든 것을 확인하십시오. 보안에 대한 제로 트러스트 접근 방식을 사용한다는 것은 IT 자산에 액세스하려는 모든 사람 또는 모든 것을 명시적으로 확인한다는 의미입니다. 이는 사이버 위협으로부터 시스템을 보호하는 데 큰 도움이 됩니다.

불법 차단 차단

크립토재킹(Cryptojacking) 공격은 점점 더 널리 퍼지고 있으며 암호화폐 가격이 변동하는 경우에도 감지하기 어렵습니다. 해커는 감염 및 회피 기술이 더욱 정교해지고 있지만 예방이 핵심입니다. 여기에 공유된 보안 사례를 구현하고 암호 도둑보다 한발 앞서 나가십시오.

시스템 보안 수준을 높이고 싶습니까? 위협 인텔리전스 소프트웨어를 탐색하여 보안 팀이 새로운 맬웨어, 제로데이 취약성 및 익스플로잇에 대한 최신 정보를 얻을 수 있도록 하십시오.