0xNews - VoIP 스위치에서 통화 정보를 훔치는 리눅스 맬웨어 Malware 발견

ESET 발표

이번에 발견된 리눅스 맬웨어 Malware 는 CDRThief 명명

VoIP 소프트 스위치를 대상으로 하는 전화 통화 메타 데이터를 훔침

통화 정보 기록 CDR Call Detail Records 을 포함

손상된 소프트 스위치에서 다양한 개인 정보 추출 가능

이 메타 데이터를 훔치기 위해 맬웨어는 소프트 스위치에서 사용하는 내부 MySQL DB 에 쿼리 수행

결과적으로 이번 맬웨어 개발자는 대상 플랫폼의 내부 아키텍처를 잘 이해하고 있음을 반증

소프트웨어 스위치인 소프트 스위치는 일반적으로 통신 네트워크에서 음성, 팩스, 데이터, 비디오 트래픽 관리, 통화 라우팅을 제공할 수 있는 VoIP 서버

CDRThief 가 특정 리눅스 VoIP 플랫폼, 즉 중국의 Linknat 의 VOS2009 나 3000 소프트 스위치를 대상으로 함

정적 분석을 피하기 위해 악성 기능에 대해 암호화

맬웨어는 MySQL DB 자격 증명에 접속할 목적으로 미리 결정된 디렉토리 목록에서 소프트 스위치 구성 파일을 찾으려고 시도하는 것으로 시작

이후 다른 DB 에 쿼리하는 작업 수행

이번 맬웨어를 발견하고 분석한 연구팀은

맬웨어 개발자가 암호화 프로세스를 분석하고 DB 암호 해독하는데 사용되는 AES 키를 검색하기 위해 플랫폼 바이너리를 리버스 엔지니어링을 수행했을 것이라 파악

맬웨어 개발자의 VoIP 아키텍처에 대한 지식 수준이 높음을 것이라 판단

손상된 Linknat 시스템에 대한 기본 정보를 수집하는 것 외

CDRThief 는 DB 의 세부 정보 추출

MySQL DB 에 직접 SQL 쿼리 실행하여 시스템 이벤트, VoIP 게이트웨이나 호출 메타 데이터와 관련된 정보를 추출

e_syslog, e_gatewaymapping, e_cdr 테이블에서 추출할 데이터는 압축된 다음 유출되기 전 하드 코딩된 RSA-1024 공개키로 암호화

따라서 맬웨어 개발자 혹은 이 맬웨어 유포한 운영자만이 유출된 데이터를 해독할 수 있음

현재까지 맬웨어는 DB 에서 데이터를 수집하는 것에 집중된 것처럼 보이지만

이후 맬웨어 개발자가 업데이트된 버전을 추가 유포한다면 충분히 변경 가능할 것이라 판단

현재까지 연구팀은 맬웨어 배포 방식에 대해서는 알아내지 못함

무차별 대입 공격이나 맬웨어가 설치된 기기의 취약점을 파악하여 공격했을 것이라 추측

다만 VoIP 사기 등과 같은 전화 사기 기법을 항상 실시하기 때문에 여기서 더 발전된 공격이라 추측

openLab