리눅스 크립토마이너, 은신을 유지하기 위해 루트킷 사용하기 시작

Linux CryptoMiners Are Now Using Rootkits to Stay Hidden

가상화폐의 인기가 상승함에 따라, 더 많은 크립토마이너 트로이목마가 제작 되어 배포 되고 있습니다. 하지만, 크립토마이너의 문제는 과도한 CPU 활용으로 인해 해당 프로세스의 탐지가 쉽다는 것입니다.

새로이 발견 된 리눅스용 변종은 루트킷은 모든 CPU를 활용하는 크립토마이너 프로세스의 탐지를 어렵게 하기 위해 그의 존재를 숨기려 시도합니다.

TrendMicro의 새로운 보고서에 따르면, 이 크립토마이너+루트킷 조합은 높은 CPU 활용으로 인해 여전히 성능 이슈를 일으킵니다. 하지만 관리자들은 어떤 프로세스가 이를 일으키는지 찾아낼 수 없게 됩니다.

“우리는 최근 리눅스 시스템에 영향을 미치는 가상 화폐 채굴 악성 코드(Coinminer.Linux.KORKERDS.AB로 탐지함)를 발견했습니다.”

“이는 모니터링 툴에서 악성 프로세스의 존재를 숨기는 루트킷 컴포넌트(Rootkit.Linux.KORKERDS.AA)와 함께 번들로 제공된다는 점이 인상적입니다. 이로써 감염 된 시스템은 성능 문제만을 표시하게 되어 탐지가 어렵게 됩니다. 이 악성코드는 자기자신과 설정파일을 업데이트 및 업그레이드하는 것도 가능합니다.”

어떤 소프트웨어가 이 마이너를 설치하는지는 아직까지 알려지지 않았지만, 연구원들은 비공식 또는 미디어 스트리밍 소프트웨어와 같은 해킹 된 플러그인일 것으로 의심하고 있습니다.

일단 설치 되면, 실행 파일이 다운로드 되며 마이너를 설치하고 이 마이너의 존재를 숨기는 루트킷을 설치하는 일련의 쉘 스크립트를 실행할 것입니다. 

<출처: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth>

TrendMicro가 탐지한 변종은 크립토마이너가 /tmp/kworkerds에서 설치 및 실행 됩니다. 루트킷이 설치 되지 않은 경우, kworkerds 프로세스가 100% CPU를 활용하고 있는 것을 확인할 수 있습니다.

윗부분에 해당 마이너 프로세스가 CPU의 100%를 활용하는 것을 볼 수 있습니다.

<출처: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth>

하지만 루트킷이 설치 되면, 시스템 전체 활용도는 100%로 나타나고 있는 상태에서도 해당 프로세스는 보이지 않습니다.

[루트킷이 마이너 프로세스를 숨긴 후]

<출처: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth>

위에서 확인할 수 있듯, 크립토마이너를 숨기기 위해 루트킷을 활용하는 방법은 탐지를 피하는데 매우 유용합니다. 하지만, 시스템 관리자나 컴퓨터의 지연 발생 원인을 파악할 수 없는 사용자들에게는 매우 끔찍한 일일 것입니다.

출처:

https://www.bleepingcomputer.com/news/security/linux-cryptominers-are-now-using-rootkits-to-stay-hidden/

https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptocurrency-mining-malware-targets-linux-systems-uses-rootkit-for-stealth