상세 컨텐츠
본문
New stealthy Linux malware used to backdoor systems for years
최근 발견된 백도어 기능을 포함한 리눅스 악성코드가 수 년간 탐지를 피해 공격자가 해킹된 기기로부터 민감 정보를 추출할 수 있었던 것으로 나타났습니다.
Qihoo 360 Netlab에서 RotaJakiro라 명명한 이 백도어는 VirusTotal에 2018년 첫 번째 샘플이 업로드되었음에도 아직까지 탐지가 되지 않고 있었습니다.
RotaJakiro는 ZLIB 압축 및 AES, XOR, ROTATE 암호화를 통해 가능한 은밀히 작동하도록 설계되었습니다.
연구원들이 발견한 샘플에서 찾은 리소스 정보는 AES 알고리즘을 통해 암호화되어 있어 악성코드 분석가가 분석할 수 없도록 했습니다.
리눅스 백도어, 훔친 데이터를 추출하는데 사용돼
공격자들은 RotaJakiro를 통해 시스템 정보 및 기타 민감 데이터를 추출하고, 플러그인 및 파일을 관리하고, 해킹된 64비트 리눅스 기기에서 다양한 플러그인을 실행할 수 있습니다.
하지만 연구원들은 감염된 시스템에 배포된 플러그인을 제대로 확인할 수 없어 이 악성코드 제작자의 진정한 의도를 파악할 수 없었다고 설명했습니다.
“RotaJakiro는 총 12개 기능을 지원하며, 그 중 3개는 특정 플러그인 실행과 관련이 있습니다. 안타깝게도 이 플러그인을 제대로 확인할 수 없기 때문에 공격자의 진정한 목적을 알 수는 없었습니다.”
RotaJakiro 샘플은 2018년 처음으로 VirusTotal에 등록되었습니다. 2018년 5월 ~ 2021년 1월 사이에 서로 다른 샘플 4개가 등록이 되었지만, 이들 모두 탐지율 0을 기록했습니다.
|
파일명 |
MD5 |
탐지 |
VirusTotal에서 처음 발견 |
|
systemd-daemon |
1d45cd2c1283f927940c099b8fab593b |
0/61 |
2018-05-16 04:22:59 |
|
systemd-daemon |
11ad1e9b74b144d564825d65d7fb37d6 |
0/58 |
2018-12-25 08:02:05 |
|
systemd-daemon |
5c0f375e92f551e8f2321b141c15c48f |
0/56 |
2020-05-08 05:50:06 |
|
gvfsd-helper |
64f6cfe44ba08b0babdd3904233c4857 |
0/61 |
2021-01-18 13:13:19 |
또한 연구원들은 지난 2018년 9월 발견된 Torii IoT 봇넷과 해당 악성코드와의 연결고리를 발견했다고 밝혔습니다.
두 악성코드 모두 해킹된 시스템에 배포된 후 동일한 명령 및 유사한 구성 방식 및 상수를 사용했습니다.
RotaJakiro와 Torii는 민감 리소스를 숨기기 위해 암호화 알고리즘을 사용하고, 오래된 방식으로 지속성을 구현하고, 구조화된 네트워크 트래픽을 사용하는 등 여러 유사한 기능을 사용했습니다.
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Backdoor.Linux.Agent'로 탐지 중입니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 광범위한 공급망 공격을 허용하는 PHP Composer 취약점 발견 (0) | 2021.04.30 |
|---|---|
| SkidMap 악성코드, Redis 무단 액세스 취약점 악용해 (0) | 2021.04.29 |
| FluBot 안드로이드 뱅킹 악성코드, 유럽 전역에 빠르게 확산돼 (0) | 2021.04.29 |
| CISA와 NIST에서 공급망 공격에 대한 새로운 권고 발표 (0) | 2021.04.28 |
| Shlayer macOS 악성코드, 제로데이 악용해 Gatekeeper 기능 우회해 (0) | 2021.04.28 |
댓글 영역