Home > 전체기사
리눅스 시스템 집요하게 노리는 암호화폐 채굴 코드, 스키드맵
  |  입력 : 2019-09-18 14:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 단계를 거쳐 조심스럽게 설치...설정 변경해 보안 약화시킨 후 페이로드 설치
각종 난독화 요소들까지 탑재...지운다고 하더라도 깨끗하게 삭제하기는 힘들어


[보안뉴스 문가용 기자] 리눅스 기반 기계들에 침투하는 암호화폐 채굴 멀웨어가 새롭게 발견됐다. 이름은 스키드맵(Skidmap)이며, 커널 모드 루트킷을 사용해 탐지를 더욱 어렵게 만든다고 한다. 보안 업체 트렌드 마이크로(Trend Micro)가 자세한 내용을 공개했다.

[이미지 = iclickart]


스키드맵은 비밀 마스터 비밀번호를 설정하고, 이를 통해 시스템 내 존재하는 모든 사용자 계정에 접근하는 기능도 가지고 있다고 한다. 이 때문에 트렌드 마이크로는 공격자들의 최초 침투 방법에 권한을 상승시키는 요소가 있을 것이라고 보고 있다.

스키드맵은 다음과 같은 차례로 설치된다.
1) 크론탭(crontab)이라는 설치용 스크립트가 제일 먼저 설치된다.
2) 크론탭은 SELinux 모듈의 설정을 변경하거나 정책을 비활성화시켜 보안을 약화시킨다.
3) 일부 프로세스들을 선택하고, 제한된 도메인 내에서 실행되도록 한다.
4) 그런 후 최종 페이로드를 다운로드 받는다.

최종 페이로드가 스키드맵인데, 이는 일종의 백도어 역할을 한다. 공격자들이 피해 시스템에 스티드맵을 통해 접근할 수 있다는 것이다. 백도어가 되기 위해 스키드맵은 바이너리 핸들러의 공공 키를 authorized_keys 파일에 추가하고, 표준 유닉스 인증을 담당하는 모듈을 악성 버전으로 대체시킨다.

하지만 스키드맵은 그런 작업들을 하기 전에 시스템이 데비안(Debian)인지, RHEL/CentOS인지 확인부터 한다. 그리고 그 결과에 따라 채굴 작업 등의 악성 행위를 지속하거나 중단시킨다. 그 외 스키드맵에는 공격을 지속시키기 위한 몇 가지 난독화 요소들을 탑재되어 있기도 하다. 이 난독화 요소들은 다음과 같다.

1) rm 바이너리 : 원래의 rm 바이너리를 대체하는 것으로, 악성 cron 명령을 다운로드하고 실행시킨다. 루틴은 무작위로 진행된다.
2) kaudited : 로더블 커널 모듈(LKM) 몇 가지를 드롭하고 설치한다. 커널 버전에 따라 모듈을 선택하고, 드롭된 커널 모듈 루트킷이 시스템을 마비시키지 않도록 한다.
3) iproute : 시스템 호출인 getdents와 엮여 있는 요소로, 특정 파일을 숨기는 기능을 담당한다.
4) netlink : 네트워크 트래픽 통계 수치를 조작하는 기능을 가지고 있다. CPU 관련 통계 수치도 바꾼다. 따라서 암호화폐 채굴로 컴퓨터가 느려졌다 해도, 피해자가 확인을 했을 때 평소와 동일한 수치가 나오도록 할 수 있다.

“스키드맵은 꽤나 고급스러운 방법들을 동원해 탐지를 피해갑니다. LKM 루트킷만 하더라도 커널의 일부를 조작하거나 덮어쓰기 하는 기능을 가지고 있어, 깨끗이 삭제하는 게 대단히 어려워집니다. 탐지가 어려워지는 건 말할 것도 없고요. 또한 여러 가지 방법을 동원해 감염된 기계에 접근하고 농락합니다. 그래서 청소를 했다고 해도 얼마든지 다시 찾아 들어갈 수 있습니다. 채굴을 대단히 끈기 있고 오래 할 생각인가 봅니다.” 트렌드 마이크로의 결론이다.

3줄 요약
1. 리눅스 환경에서 작동하는 암호화폐 채굴 코드 스키드맵 발견됨.
2. 탐지를 피하기 위한 온갖 수단 동원하고, 삭제도 잘 안 되게끔 만들어져 있음.
3. 난독화 요소도 최소 네 개 이상 탑재되어 있는, 나름 고급 멀웨어.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)