0xNews - GitHub를 통해 리눅스 커널 취약점 공개에 대한 가짜 PoC 공개를 통해 맬웨어 유포
0xNews - GitHub를 통해 리눅스 커널 취약점 공개에 대한 가짜 PoC 공개를 통해 맬웨어 유포
Uptycs 발표
https://www.uptycs.com/blog/new-poc-exploit-backdoor-malware
GitHub에서 교묘한 방법으로 지속적으로 백도어를 숨기는 PoC 발견
이런 경우 PoC는 양의 탈을 쓴 늑대이며 무해한 학습 도구로 위장한 악의적인 의도를 품고 있음
다운로더로 작동하면서 리눅스 bash script를 자동으로 덤프하고 실행하는 동시에 작업을 커널 수준 프로세스로 위장
이번에 발견된 GitHub 리포지토리는 최근 공개된 리눅스 커널 취약점 CVE-2023-35829 에 대한 PoC 로 위장
취약점 CVE-2023-35829 에 대한 상세 정보
https://nvd.nist.gov/vuln/detail/CVE-2023-35829
현재 해당 리포지토리는 삭제
25번 포크 되기 전까지 삭제되지 않았음
VMware Fusion 에 영향을 미치는 권한 상승 버그인 CVE-2023-20871 에 대해 동일 계정인 ChriSanders22 에서 공유하는 또 다른 PoC가 2번 분기
CVE-2023-35829 에 대한 가짜 PoC 가 포함된 두번째 GitHub 프로필 정보도 식별
작성 당시에도 여전히 사용 가능하며 19번 포크된 것을 확인
커밋 기록을 보면 변경 사항이 ChriSanders22 에 의해 푸시되었음을 확인
이는 원래 리포지토리에서 분기되었음을 나타냄
백도어에는 손상된 호스트에서 중요한 데이터를 탈취하는 광범위한 기능이 포함
위협 행위자가 SSH키를 .ssh/authorized_keys 파일에 추가하여 원격 접속 권한 획득 가능
PoC 는 우리가 소크 코드 파일에서 실행 파일을 컴파일하고 빌드하는데 사용되는 자동화 도구인 make 명령을 실행하도록 의도
하지만 makefile 에는 악성코드를 빌드하고 실행하는 코드 스니펫이 상주
악성코드는 kworker 라는 파일의 이름을 지정하고 실행
이 파일은 $HOME/.bashr 에 $HOME/.local/kworker 경로를 추가하여 공격자에게 지속성을 보장
vulncheck 가 Discord, Google Chrome, MS Exchange Server, Signal, WhatsApp 과 같은 유명한 소프트웨어에 대한 PoC 익스플로잇을 위장하여 맬웨어를 배포하는 보안 연구원으로 위장한 여러 허위 GitHub 계정을 발견한지 얼마 안된 후 이루워진 행위들
PoC 를 다운로드하여 실행한 사용자는 승인되지 않은 SSH키, kworker 파일 삭제, bashrc 파일에서 kworker 경로 삭제, 잠재적 위협에 대한 /tmp/.iCE-unix.pid 확인을 권장
정상적인 PoC와 사용자를 기만하는 PoC를 구별하는 것은 쉽지 않음
격리된 환경에서의 테스트와 같은 안전한 행동으로 사용자 보호를 위한 행동과 조치를 취해야 함
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.