포스팅 내용

국내외 보안동향

새로운 CDRThief 악성코드, 리눅스 소프트스위치에서 VoIP 메타데이터 훔쳐

New CDRThief malware steals VoIP metadata from Linux softswitches

 

악성코드 연구원들이 전화 교환 장치에서 전화 데이터 기록(CDR)을 훔치기 위해 특정 VoIP 시스템을 노리는 새로운 악성코드인 CDRThief를 발견했습니다.

 

악성코드 분석 결과, 이는 리눅스 VoIP 플랫폼인 ‘Linknat VOS2009/3000 소프트스위치용으로 특별히 제작된 것으로 나타났습니다.

 

악성코드의 명확한 목적


소프트스위치는 통신 네트워크에서 오디오, 비디오, 텍스트 트래픽을 관리하는 VoIP 서버로써 동작하는 소프트웨어 솔루션입니다. 이는 내부 및 외부 라인 사이의 통신을 담당하는 핵심 요소입니다.

 

 

<이미지 출처: Linknat>

 

 

CDRThief의 목적은 VOS2009/3000 소프트스위치를 해킹하고 내부 MySQL 데이터베이스로부터 발신자의 IP 주소, 전화번호, 통화 시작 시간 및 지속 시간, 경로, 유형 등 콜 메타데이터를 훔치는 것입니다.

 

개발자들, 타깃을 충분히 이해하고 있어

 

악성코드를 분석한 ESET의 연구원들은 XXTEA(Corrected Block TEA) 암호화를 사용하여 악성 기능을 난독화한 다음 의심스러운 링크를 통해 Base64 인코딩을 실행하려 시도했습니다.

 

MySQL 데이터베이스로의 접근은 비밀번호로 보호되어 있었습니다. 하지만 키는 구성 파일 내에 암호화되어 있어 CDRThief가 이를 읽고 복호화할 수 있었습니다. 이로써 해당 악성코드의 개발자는 그들이 공격하는 플랫폼을 매우 잘 이해하고 있었다는 것을 알 수 있습니다.

 

ESET은 개발자가 암호화 알고리즘(AES)에 대한 Linknat 코드의 세부적인 내용 및 데이터베이스 접근 비밀번호를 복호화하는 키를 알아내기 위해 플랫폼 바이너리를 리버스 엔지니어링한 것으로 추측했습니다.

 

연구원들은 CDRThief의 기능을 확인한 후 이 악성코드가 VoIP 게이트웨이에 대한 정보 및 통화 메타데이터를 포함하는 시스템 이벤트 로그 테이블에 관심이 있다고 결론지었습니다.

 

이 악성코드는 해당 정보를 하드코딩된 RSA-1024 공개 키로 압축 및 암호화한 후 JSON을 사용하여 HTTP를 통해 C2 서버로 전달합니다.

 

이 악성코드의 주된 목적은 데이터베이스에서 데이터를 수집하는 것이라 말할 수 있습니다. 다른 백도어와는 달리 Linux/CDRThief는 셸 명령어 실행 또는 해킹된 소프트스위치의 디스크에서 특정 파일을 추출하는 것을 지원하지 않습니다. 하지만 이러한 기능은 추후 업데이트된 버전에 추가될 수 있습니다.”

 

분석에 따르면 CDRThief는 어떤 위치에서 어떤 파일명을 사용하더라도 시작될 수 있었습니다. 일단 배포가 완료되면, 이는 Linknat VOS2009/3000 플랫폼에서 정식 바이너리를 시작하려 시도합니다.

 

exec -a '/home/kunshi/callservice/bin/callservice -r

 

/home/kunshi/.run/callservice.pid'

 

이 악성코드가 어떻게 지속성을 얻을 수 있는지는 알 수 없었지만 연구원들은 위 명령으로 미루어 볼 때 이 악성코드는 부트 체인에 삽입되어 Linknat 소프트스위치의 구성 요소로 위장하고 있을 가능성이 있다고 밝혔습니다.

 

현재까지 확인된 내용에 따르면 CDRThief는 사이버 스파잉 활동 또는 VoIP 사기에 이용될 수 있습니다.