상세 컨텐츠

본문 제목

유효하지 않은 날짜를 사용하는 cron 작업에 숨는 새로운 리눅스 악성코드 발견

국내외 보안동향

by 알약4 2021. 11. 26. 14:00

본문

New Linux malware hides in cron jobs with invalid dates

 

보안 연구원들이 존재하지 않는 2 31일에 실행되도록 예약된 작업에 숨어 거의 보이지 않는 프로필을 유지하는 새로운 리눅스용 원격 액세스 트로이 목마(RAT)를 발견했습니다.

 

CronRAT이라 명명된 이 악성코드는 현재 웹 스토어를 노리고 있으며 공격자가 리눅스 서버에 온라인 지불 스키머를 배포하여 신용 카드 데이터를 훔칠 수 있도록 합니다.

 

CronRAT은 현재 많은 바이러스 백신 엔진에서 탐지되지 않고 있습니다.

 

영리한 방법으로 페이로드 숨겨

 

CronRAT 2 31일과 같이 달력에서 존재하지 않는 날짜에 작업을 실행하도록 하여 리눅스 작업 스케줄링 시스템인 cron을 악용합니다.

 

Linux cron 시스템은 날짜가 달력에 존재하지 않는 경우에도 유효한 형식이 있는 한 날짜 형식을 수락합니다. , 예약된 작업은 실행되지 않을 것입니다.

 

이로써 CronRAT이 은밀하게 숨을 수 있었습니다. 네덜란드 사이버 보안 회사 Sansec의 보고서에 따르면, 예정된 작업의 이름에 "정교한 Bash 프로그램"이 숨겨져 있습니다.

 

CronRAT는 흥미로운 날짜 지정 방식을 통해 crontab에 여러 작업을 추가합니다: 52 23 31 2 3. 이 행은 구문상 유효하지만 실행될 때 런타임 오류를 생성합니다. 하지만 이는 2 31일에 실행될 예정이므로 절대로 발생하지 않을 것입니다."

 

 

<이미지 출처 : https://sansec.io/research/cronrat>

<존재하지 않는 날에 실행되는 cron 작업에 숨겨진 CronRAT 페이로드>

 

 

페이로드는 여러 압축 계층 및 Base64 인코딩을 통해 난독화됩니다. 코드에는 자체 파괴, 타이밍 변조, 원격 서버와의 통신을 허용하는 커스텀 프로토콜에 대한 명령이 포함되어 있었습니다.

 

연구원들은 이 악성코드가 "파일을 통해 TCP 통신을 가능하게 하는 리눅스 커널의 이색적인 기능"을 사용하여 명령 및 제어(C2) 서버(47.115.46.167)에 접속한다고 밝혔습니다.

 

또한 연결은 Dropbear SSH 서비스에 대한 가짜 배너를 사용하여 포트 443을 통해 TCP를 통해 이루어지며, 이는 악성코드가 탐지를 피하도록 돕습니다.

 

C2 서버에 접속한 후에는 여러 명령을 수신 및 전송하고, 악성 동적 라이브러리를 내려받습니다. 이러한 교환이 끝나면 CronRAT 공격자는 해킹된 시스템에서 모든 명령을 실행할 수 있습니다.

 

CronRAT은 전 세계 여러 상점에서 발견되었으며, 서버 스크립트에 주입되어 지불 카드 데이터를 훔치는 이른바 Magecart 공격에 사용되었습니다.

 

Sansec은 아래의 이유로 새로운 악성코드를 "Linux 전자 상거래 서버를 노리는 심각한 위협"이라 설명했습니다.

 

파일 없는 실행

타이밍 변조

변조 방지 체크섬

난독화된 바이너리 프로토콜을 통한 제어

별도의 리눅스 하위 시스템에서 직렬 RAT 실행

"Dropbear SSH" 서비스로 위장한 관제 서버

합법적인 CRON 예약 작업 이름에 숨겨진 페이로드

 

이러한 모든 기능으로 인해 CronRAT는 거의 감지되지 않습니다. VirusTotal에서 안티바이러스 엔진 12개는 악성 파일을 처리하지 못했으며 58개는 위협으로 탐지하지 못했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-linux-malware-hides-in-cron-jobs-with-invalid-dates/>

 

  

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-linux-malware-hides-in-cron-jobs-with-invalid-dates/

https://sansec.io/research/cronrat

관련글 더보기

댓글 영역