Skidmap 리눅스 마이너, 백신 탐지 피하기 위해 커널 모드 루트킷 사용해

Skidmap Linux miner leverages kernel-mode rootkits to evade detection

Trend Micro의 연구원들이 탐지를 피하기 위해 커널 모드 루트킷을 활용하는 리눅스 가상화폐 마이너인 Skidmap을 발견했습니다.

이 악성코드는 탐지를 피하기 위해 악성 커널 모듈을 로드하기 때문에 다른 유사한 마이너보다 뛰어납니다.

이 가상 화폐 마이너는 시스템의 모든 사용자 계정에 접근하는데 사용할 비밀 마스터 패스워드를 설정합니다.

이 커널 모드 루트킷은 사용자 모드를 사용하는 다른 루트킷에 비해 탐지가 어려울 뿐만 아니라 영향을 받는 시스템에 자유롭게 접근할 수 있습니다. 

Skidmap은 시스템의 모든 사용자 계정에 접근할 수 있는 비밀 마스터 패스워드를 설정할 수 있습니다.

Skidmap의 루틴 작업 중 많은 부분이 루트 접근 권한을 필요로 하며, 이는 공격자에게 루트 또는 관리 접근 권한을 제공하는 것과 동일하다고 볼 수 있습니다.

감염 체인은 Skidmap 마이너가 crontab을 통해 자기 자신을 설치한 후 악성코드가 메인 바이너리를 다운로드 및 실행하는 방식으로 진행됩니다. 

이 악성코드는 SELinux(Security-Enhanced Linux) 모듈을 허용 모드로 설정하거나 SELinux 정책을 비활성화하고 선택된 프로세스를 제한된 도메인에서 실행하도록 설정해 타깃 시스템의 보안 설정을 떨어트립니다. 

또한 감염된 시스템에 백도어 접근을 설정합니다. 공격자는 Skidmap을 통해 감염된 기기에 백도어 접근이 가능합니다.

Skidmap은 백도어 접근 이외에도 운영자들이 기기에 접근할 수 있는 또 다른 방법을 제공합니다. 

이 악성코드는 시스템의 pam_unix.so 파일을 악성 버전으로 바꿔치기합니다.

메인 바이너리는 시스템이 Debian이나 RHEL/CentOS에서 실행되는지 확인 후 마이너 및 특정 리눅스 배포판에서 사용되는 다른 파일을 드롭합니다.

전문가들은 Skidmap 마이너에 활동을 난독화하고 지속성을 보장받도록 설계된 컴포넌트가 있다고 밝혔습니다. 이 컴포넌트의 샘플은 아래와 같습니다.

가짜 rm 바이너리 – 원본을 바꿔치기하고 바이너리가 실행되면 랜덤으로 파일을 다운로드 및 실행하는 악성 cron 작업을 설정합니다.

Kaudited - /usr/bin/kaudited로 설치되며 LKM(loadable kernel module)를 드롭 및 설치합니다. Kaudited 바이너리는 마이닝 프로세스를 모니터링하는 감시 컴포넌트 또한 드롭합니다.

iproute – 이 모듈은 특정 파일을 숨기기 위해 시스템 호출, getdents를 후킹합니다.

netlink – 악성코드의 활동을 숨기기 위해 네트워크 트래픽 통계 및 CPU 관련 통계를 위조합니다.

Skidmap은 수준 높은 방법을 사용해 자신과 자신의 컴포넌트가 탐지되지 않도록 설정합니다. 

예를 들면, LKM 루트킷을 사용하여 커널의 일부를 덮어쓰거나 수정할 수 있기 때문에 다른 악성코드에 비해 치료하기가 어렵습니다.

Skidmap은 감염된 기기에 접근할 수 있는 여러 가지 방법이 있어, 시스템이 복구되거나 치료된 후에도 다시 감염될 수 있습니다.

출처:

https://securityaffairs.co/wordpress/91441/malware/skidmap-linux-miner.html

https://blog.trendmicro.com/trendlabs-security-intelligence/skidmap-linux-malware-uses-rootkit-capabilities-to-hide-cryptocurrency-mining-payload/