새로운 Symbiote 악성코드, 리눅스 시스템의 모든 실행 중인 프로세스 감염시켜

국내외 보안동향

by 알약4 2022. 6. 10. 09:00

New Symbiote malware infects all running processes on Linux systems

새로운 리눅스 악성코드인 Symbiote가 발견되었습니다. 이는 해킹된 시스템에서 실행 중인 모든 프로세스를 감염시키고 계정 크리덴셜을 훔쳐 공격자에게 백도어 접근 권한을 부여합니다.

해당 악성코드는 실행 중인 모든 프로세스에 자신을 주입한 후 시스템 전체를 감염시켜 심층 검사에서도 탐지할 수 있는 증거를 남기지 않습니다.

Symbiote는 BPF(Berkeley Packet Filter) 후킹 기능을 사용하여 네트워크 데이터 패킷을 스니핑하고 보안 툴에서 자체 통신 채널을 숨깁니다.

이 새로운 위협은 BlackBerry와 Intezer Labs의 연구원이 발견 및 분석했습니다. 이들은 Symbiote는 작년부터 활발하게 개발되고 있었다고 밝혔습니다.

공유 개체를 통한 시스템 전체 감염

Symbiote는 흔히 사용되는 실행 파일 대신 LD_PRELOAD 지시문을 사용하여 실행 중인 프로세스에 로드되어 다른 공유 개체에 대한 우선 순위를 얻는 공유 개체(Shared Object) 라이브러리입니다.

Symbiote는 가장 먼저 로드되어 "libc" 및 "libpcap" 기능을 후킹하고 자신의 존재를 숨기기 위해 기생 프로세스 숨기기, 악성코드와 함께 배포된 파일 숨기기 등 다양한 작업을 수행합니다.

<Symbiote가 사용하는 모든 은폐 트릭>

연구원들은 보고서를 통해 아래와 같이 설명했습니다.

"악성코드는 프로세스에 자신을 주입할 때 어떤 결과를 표시할지 선택할 수 있습니다.”

"관리자가 의심스러운 네트워크 트래픽을 조사하기 위해 감염된 시스템에서 패킷을 캡쳐하기 시작하면 Symbiote가 검사 소프트웨어의 프로세스에 자신을 주입하고 BPF 후킹을 통해 그들의 활동이 발각될 수 있는 결과를 필터링합니다."

Symbiote는 해킹된 시스템에서 악의적인 네트워크 활동을 숨기기 위해 숨기려는 연결 항목을 제거하고 BPF를 통해 패킷 필터링을 수행하고 목록의 도메인 이름에 대한 UDP 트래픽을 제거합니다.

백도어 및 데이터 탈취

이 은밀한 새 악성코드는 "libc read" 기능을 연결해 해킹된 Linux 기기에서 자동으로 크리덴셜을 수집하는데 주로 사용됩니다.

관리자 계정의 크리덴셜을 도용할 경우 방해받지 않는 상태에서 측면 이동을 할 수 있으며, 전체 시스템에 무제한으로 접근할 수 있기 때문에 가치가 높은 네트워크의 Linux 서버를 공격할 때 매우 중요한 임무입니다.

또한 Symbiote는 PAM 서비스를 통해 운영자에게 시스템에 대한 원격 SHH 접근을 제공하는 동시에 공격자가 시스템에 대한 루트 권한을 얻을 수 있는 방법 또한 제공합니다.

<호스트에서 루트 셸 생성>

이 악성코드는 주로 라틴 아메리카의 금융 부문을 노려 브라질 은행, 국가 연방 경찰 등을 사칭합니다.

연구원들은 아래와 같이 결론지었습니다.

"이 악성코드는 사용자 영역 수준의 루트킷으로 작동하기 때문에 탐지해 내기 어려울 수 있습니다."

"네트워크 원격 측정을 사용하여 비정상적인 DNS 요청을 탐지할 수 있으며, AV 및 EDR과 같은 보안 툴은 사용자 영역 루트킷에 '감염'되지 않도록 정적으로 연결되어야 합니다."

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Linux.Generic.225469’로 탐지 중입니다.

출처:

Hello XD 랜섬웨어, 암호화 중 백도어 드롭해 (0)	2022.06.13
새로운 랜섬웨어, Roblox Game Pass 스토어에서 복호화 툴 판매해 (0)	2022.06.10
Emotet 악성코드, 구글 크롬 유저의 신용카드 훔쳐 (0)	2022.06.09
Evil Corp 사이버 그룹, 제재 피하기 위해 LockBit 랜섬웨어로 전환해 (0)	2022.06.09
Black Basta 랜섬웨어 리눅스 버전, VMware ESXi 서버 노려 (0)	2022.06.08

고정 헤더 영역