크립토마이너 해부: 마이닝 봇넷 차단

악성 크립토마이너 운영이 탐지되면 현재 두 가지 방법으로 차단을 시도할 수 있습니다. 

1. 풀 서비스 제공업체에 공격자 계정 차단을 요청하는 방법

2. 공격자의 인프라 내 다른 서비스를 중단시켜 캠페인을 방해하는 방법

하지만 이 두 방법은 써드파티에 의존하기 때문에 절차가 복잡하고 시간이 오래 걸릴 수 있다는 문제가 있습니다.

Akamai는 더 나은 방법을 찾아냈습니다. 

마이닝 토폴로지와 풀 정책을 활용해 두 가지 기법을 개발했습니다. 이는 크립토마이너 봇넷의 효율을 현저히 떨어뜨려 완전히 차단할 수 있으므로, 공격자는 인프라를 근본적으로 수정하거나 캠페인을 포기해야 할 수도 있습니다.

이 두 기법은 stratum 통신 방식을 악용해 프록시나 지갑 등 크립토마이닝 작업 계정과 관련된 핵심 구성요소를 차단할 수 있도록 설계되었습니다.

그림 2: 실험 환경에서 배드 셰어 기법 적용

풀을 통한 크립토마이닝은 유효한 해시 계산 결과, 즉 셰어를 제출하는 방식으로 이루어집니다. 크립토마이너가 수익을 얻으려면 마이닝 풀에 셰어를 지속적으로 제출해야 합니다. 마이닝 풀은 제출된 셰어를 받아 해시 결과와 난이도를 검증합니다.

이 검증 작업은 풀 서버가 수행해야 하는 작업 중 가장 부담이 큰 작업 중 하나이며, 특히 유효하지 않은 셰어가 많을 경우 그 부담이 더욱 큽니다. 삶에서 일어나는 많은 일들처럼 실수가 발생할 수 있습니다. 예를 들어 하드웨어 고장으로 인해 유효하지 않은 셰어가 풀에 제출될 수 있습니다.

무효한 셰어 처리는 많은 리소스를 소모하며, 대량으로 제출될 경우 서버에 과부하가 걸릴 수 있습니다. 따라서 마이닝 풀은 이러한 상황을 방지할 수 있는 보호 장치를 마련해야 합니다. 이에 따라 제출된 셰어가 서버 검증에 통과하지 못하면 대부분의 풀은 크립토마이너에게 일반적으로 일시 차단 형태로 적용되는 패널티를 부과합니다.

이러한 상호작용은 악성 마이닝 운영을 차단하려 할 때 매우 유용하게 활용될 수 있습니다. 백엔드 노드나 풀이 공격자 크립토마이너 즉, 피해자를 차단하게 만들면, 크립토마이너의 리소스 악용을 중단하고 피해자를 해방시킬 수 있습니다.

다음 섹션에서는 이전에 살펴본 두 개의 마이닝 캠페인을 대상으로 이 개념을 시연합니다. 각 캠페인은 서로 다른 마이닝 토폴로지, 즉 크립토마이닝 프록시와 퍼블릭 풀에 직접 연결된 방식을 대표합니다.

악성 크립토마이너가 가장 자주 사용하는 마이닝 토폴로지 중 하나는 마이닝 프록시입니다(그림 3). 이 설정은 공격자의 백엔드와 지갑 주소를 숨겨 신원을 보호하고 네트워크 내 추적 가능성을 줄여 프라이버시를 강화합니다.

마이닝 프록시는 일반적으로 네트워크 검사를 통해 탐지할 수 있는 크립토마이너가 연결되는 표적 풀을 "숨기기" 때문에 네트워크 기반 탐지를 어렵게 만듭니다. 또한 지갑 주소도 감추기 때문에 크립토마이너의 탐지 가능한 흔적을 더욱 줄입니다. 하지만 Akamai는 마이닝 프록시가 크립토마이너의 아킬레스건이 될 수 있다는 점을 발견했습니다.

프록시를 사용하는 경우 모든 피해자가 하나의 서버에 연결되기 때문에, 프록시에 간섭하는 것만으로 전체 마이닝 운영을 중단시킬 수 있습니다. Akamai는 이를 실현할 수 있는 기법을 개발했습니다.

아이디어는 간단합니다. 크립토마이너로 위장하여 악성 프록시에 접속한 뒤, 무효한 마이닝 작업 결과인 배드 셰어를 제출하면, 이는 프록시의 검증을 우회하여 마이닝 풀에 전달됩니다. 이러한 배드 셰어가 연속적으로 제출되면, 결국 프록시가 마이닝 풀에서 차단되어 전체 크립토마이닝 봇넷의 운영이 효과적으로 중단됩니다.

크립토마이너는 먼저 Stratum 로그인 방법을 사용해 프록시에 연결해야 합니다. 별도로 설정하지 않은 경우, XMRig 프록시 서버에서는 기본적으로 마이너를 x로 식별합니다(그림 4).

연결이 성공했다는 것은 프록시 측에 리스너가 활성화되어 있음을 의미합니다. 응답을 구문 분석해 실제로 마이닝 프록시인지 확인할 수 있습니다. 유효한 응답은 Stratum 프로토콜을 따르는 JSON 문서 형식이며, 그 결과로는 작업(job)이 반환됩니다.

전체 마이닝 프로세스는 복잡하지만(Zero to Monero에 설명됨), 맞춤형 셰어를 만드는 것은 비교적 간단합니다. 프록시 응답에서 worker id, job id, nicehash nonce의 세 가지 값을 추출하면 됩니다. 이 세 가지 값은 특정 마이닝 작업을 식별하는 데 필요하며, 프록시가 우리가 보내는 배드 셰어를 받아들이도록 하려면 해당 필드를 정확하게 입력해야 합니다(그림 5).

프록시는 크립토마이너로부터 셰어를 수신하면 거의 그대로 풀로 전달하지만, 셰어가 공격자의 지갑 주소로 제출된다는 한 가지 중요한 차이가 있습니다. 이 때문에 크립토마이너 샘플만으로는 공격자의 지갑 주소나 계정 정보, 혹은 어떤 풀을 사용하는지 파악할 수 없습니다.

크립토마이너 봇넷에 피해자로 위장해 침투하는 것은 어렵지 않습니다. 대개 별도의 권한 확인 절차가 없으며, 많은 경우 일반적인 마이닝 애플리케이션인 XMRig(마이너)와 XMRig-proxy(마이닝 프록시)를 사용합니다.

이러한 특성 덕분에 XMRogue를 개발할 수 있었습니다. XMRogue는 크립토마이너로 위장해 마이닝 프록시에 연결하고 연속적인 배드 셰어를 제출한 후 최종적으로 마이닝 프록시를 풀에서 차단하는 툴입니다(그림 6).

이러한 검증을 우회하려면, 작업 요청을 분석하고 프록시 입장에서는 유효해 보이지만 실제로는 잘못된 작업 결과를 정교하게 구성해 제출해야 합니다. 이렇게 하면 프록시가 해당 셰어를 풀로 전달하게 만들 수 있습니다.

이 프록시는 초당 300만 해시를 생성하며, 이는 시간당 약 3달러, 연간 약 2만 6000달러의 수익에 해당합니다. Akamai는 이 프록시를 XMRogue로 표적화해 풀에서 빠르게 차단했고, 이에 따라 해당 프록시에 연결된 모든 피해자의 마이닝이 중단되었습니다. 프록시의 해시레이트를 확인한 결과, 완전히 0으로 급감한 것을 볼 수 있었습니다(그림 9).

XMRogue가 공격자의 전체 캠페인에 미친 영향을 고려하면 수익성이 크게 감소했음을 확인할 수 있습니다. 처음 이 캠페인을 분석했을 당시 연간 수익은 약 5만 달러였지만, Akamai가 캠페인을 방해하고 균형을 깨뜨리자 연간 매출은 76% 감소하여 1만 2000달러 수준으로 떨어졌습니다. 여기에 추가 프록시까지 차단한다면 수익은 0까지 떨어질 수 있었을 것입니다. 이러한 영향이 발생하면 공격자는 캠페인을 완전히 포기하거나, 변경 사항이 추적되는 리스크를 감수하고 인프라를 다시 구축해야 할 수 있습니다.

모든 공격자가 마이닝 프록시를 사용하는 것은 아닙니다. 많은 경우 피해자는 풀에 직접 연결되기 때문에, 앞서 소개한 기법은 적용되지 않습니다. 이 경우 배드 셰어를 제출하면 Akamai의 IP만 풀에서 차단될 뿐, 마이닝 운영에는 영향을 주지 못합니다.

위에서 소개한 기법들은 보안팀 직원이 풀의 정책을 활용해 정상적인 풀 운영을 방해하지 않으면서도 악성 크립토마이너 캠페인을 효과적으로 중단시킬 수 있는 방법을 보여줍니다. 정상적인 마이너는 IP나 지갑 주소를 로컬에서 손쉽게 변경할 수 있기 때문에 이러한 방어 기법에서 빠르게 회복할 수 있습니다.

반면 악성 크립토마이너는 전체 봇넷을 수정해야 하므로 훨씬 더 복잡한 작업이 요구됩니다. 특히 정교하지 않은 마이너의 경우, 이 방어 기법만으로도 봇넷을 완전히 무력화할 수 있습니다.