안랩 EPP

구독
다운로드 357
업데이트 2025. 12. 2.

암호화폐 채굴 악성코드 탐지

안랩 EPP V3 악성코드 경고 로그에서 암호화폐 채굴 악성코드를 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 CoinMiner/Win.PhoenixMiner.R263897, CoinMiner/Win.Generic.C5729394 등으로 암호화폐 채굴 악성코드를 탐지하므로, signature 문자열 값이 CoinMiner/ 으로 시작하는 경고를 추출합니다.

| search signature == "CoinMiner/*"

메시지

  • 안랩 EPP V3 암호화폐 채굴 악성코드 탐지: 호스트 $host_ip, 악성코드 $signature

출력 필드 순서

  • _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

  • 암호화폐 채굴 악성코드는 시스템 자원을 장기간 점유하여 CPU·GPU 사용률 급증, 시스템 성능 저하, 전력 소모 증가 등을 유발합니다.
  • 공격자는 탈취한 계정 또는 취약점 악용을 통해 채굴 프로그램을 설치하여 조직의 자원을 무단 사용(Resource Hijacking)할 수 있습니다.
  • 일부 채굴 악성코드는 채굴뿐 아니라 추가 페이로드 다운로드, 백도어 설치, 자체 업데이트 기능을 포함하고 있어 추가 침해로 이어질 수 있습니다.

오탐 유형

  • 내부에서 암호화폐 채굴 프로그램을 운영하거나 연구 목적으로 실행하는 경우 탐지될 수 있습니다.
    • 허용된 업무인 경우 단말 IP 주소를 예외 조건으로 처리합니다.

대응 방안

  • 해당 단말의 CPU·GPU 사용률, 네트워크 트래픽 패턴을 확인해 실제 채굴 활동이 이루어졌는지 조사합니다.
  • 채굴 프로그램 실행 경로, 설치 파일 생성 흔적, 자동 실행 등록 여부 등을 확인해 제거 조치를 수행합니다.
  • 동일 네트워크 구간에서 유사한 탐지가 발생했는지 확인하여 조직 내 확산 여부를 점검합니다.
  • 침해 경로(취약점 악용, 약한 비밀번호, 원격 데스크톱 노출 등)를 분석하고, 시스템 패치·계정 보안·접근 제어 정책을 강화합니다.

MITRE ATT&CK