0xNews - 리눅스 운영체제 내 모든 프로세스에 대한 공격 가능한 맬웨어 발견
0xNews - 리눅스 운영체제 내 모든 프로세스에 대한 공격 가능한 맬웨어 발견
Intezer 발표
https://www.intezer.com/blog/incident-response/orbit-new-undetected-linux-threat/
OrBit 로 명명
이 맬웨어는 실행된 명령의 출력되는 위치가 /tmp/.orbit 에 임시로 저장되서 사용되기에 명명
시스템에 맬웨어가 감염되면 휘발성 임플란트 추가 설치
고급 회피 기술로 구현되어 주요 기능을 연결하여 시스템 접속에 대한 지속성 확보
SSH를 통한 원격 접속이 가능하도록 하며 자격 증명을 수집하고 TTY 명령을 기록
맬웨어가 설치되면 시스템에서 실행 중인 모든 프로세스를 감염시키도록 설계
공유 객체를 로드하기 위해 LD_PRELOAD 환경 변수 활용
이를 위해 로더가 사용하는 구성파일에 공규 개체를 추가
혹은 로더 자체의 바이너리를 패치하여 악의적인 공유 개체를 로드
페이로드 libdl.so 추출하고 동적 링커에 의해 로드되는 공유 라이브러리에 추가하는 ELF 드롭퍼 파일을 통해 공격 시작
Virustotal 에 등록된 libsl.so 파일 정보
https://www.virustotal.com/gui/file/40b5127c8cf9d6bec4dbeb61ba766a95c7b2d0cafafcb82ede5a3a679a3e3020
Virustotal 에 등록된 elf 드롭퍼 파일 정보
공격자만든 공유 라이브러리는 libc, libcap, PAM Pluggable Authentication Module 등 세가지 라이브러리에서 기능을 연결하도록 설계
기존 프로세스나 새로 실행되는 프로세스가 수정된 기능을 사용하도록 함
이를 통해 자격 증명 수집, 네트워크 활동에서의 숨기기나 관련 설정을 허용
SSH를 통한 호스트에 원격 접속과 탐지 회피
맬웨어 설치 후 연결이 완료되면 파일 읽기와 쓰기 가능
bash, sh 명령을 포함한 시스템에서 실행된 프로세스에 의해 기록되는 데이터를 캡처하여 정보 탈취 후 해당 결과를 특정 파일에 저장
이 맬웨어는 설치된 시스템의 라이브러리를 거의 완벽하게 연결
맬웨어의 지속성 확보와 탐지 회피를 수행하며 정보 탈취하는 역할에 대한 수준이 매우 높음
해당 맬웨어는 리눅스 시스템을 대상으로 활동
보안 점검이나 검색의 회피 수준이 매우 높기에 관리자의 수준 높은 대응이 필요
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.