리눅스를 타겟으로 하는 Rekoobe 악성코드 발견!

리눅스를 타겟으로 하는 Rekoobe 악성코드 발견!

Rekoobe a new malware targeting Linux users

최근 Rekoobe라는 리눅스 악성코드가 발견되었습니다. 

이 악성코드는 10월달에 처음 발견되었으며, 2개월이 지난 12월, 분석 결과가 공개되었습니다. Rekoobe 악성코드는 최초에 Linux SPARC 구조를 감염시켰으나, 점점 진화하여, 32비트 및 64비트 인텔 칩 상에 있는 리눅스를 감염시킬 수 있게 되었습니다. 

Rekoobe악성코드 구조 자체는 매우 간단하지만, 탐지하기가 힘듭니다. 자신의 구성파일 및 C&C서버와 주고받는 데이터들을 암호화하기 때문입니다. 

악성코드의 구성파일들은 xor 방식의 암호화를 통하여 문서에 저장되어 있습니다. 문서경로는 아래와 같습니다.

/usr/lib/liboop-trl.so.0.0.0 /usr/lib/libhistory.so.5.7 /usr/lib/libsagented.so.1 /usr/lib/libXcurl /usr/lib/llib-llgrpc

또한 Rebooke 악성코드는 감염시스템 상에서 악성 payload를 실행하여 감염시스템을 완전히 장악합니다. 

Linux.Rekoobe.1 악성코드는 문서 업/다운로드, linux 쉘로 내려지는 명령을 탈취, 탈취 정보 서버 전송 3가지 명령만 실행할 수 있습니다. 이 명령들로 해커는 원격에서 감염시스템와 실시간으로 통신할 수 있게 됩니다. 

현재 Rekoobe악성코드 제작자는 이미 Android, Mac OS 및 Windows에서 동작하는 변종도 제작한 것으로 확인되었습니다. 

현재 알약에서는 해당 악성코드에 대해 Trojan.Agent.Linux.Rekoobe로 탐지하고 있습니다.

출처 : 

http://securityaffairs.co/wordpress/42522/cyber-crime/rekoobe-linux-malware.html

http://news.drweb.com/show/?i=9732&lng=en&c=5