감염 후 제일 먼저 리눅스 멀웨어 대규모로 수색 및 제거 시작
리눅스 스케줄러 통해 새벽 1시마다 채굴...코르커즈의 흔적 나타나

[보안뉴스 문가용 기자] 최근 리눅스 장비들 사이에서 퍼지고 있는 코인 채굴 멀웨어가 새롭게 발견됐다. 이 멀웨어는 암호화폐를 채굴하는 것만이 아니라 같은 시스템 내 있는 다양한 멀웨어들을 제거하기까지 한다고 한다. 이에 대해 보안 업체 트렌드 마이크로(Trend Micro)가 공개했다.


이 멀웨어는 완전히 새롭다고 말하기는 어렵다. 이전에 활동했던 엑스배시(Xbash)나 코르커즈(KORKERDS)에서 코드를 빌린 흔적이 있기 때문이다. 또한 피해자의 시스템에 설치된 이후에는 리눅스의 반복 작업 스케줄러인 크론탭(crontab)에 연동해 지속적인 공격을 위한 발판을 마련한다.

그런 과정에서 이 멀웨어는 그 동안 세상에 알려진 다양한 리눅스 멀웨어를 제거한다고 한다. 또 다른 채굴 코드들이 이 과정에서 제거될 뿐만 아니라, 여러 암호화폐 관련 서비스와 포트에 대한 연결도 차단한다. 그런 후에 채굴과 관련된 바이너리를 다운로드 받는다.

이 바이너리를 구성하고 있는 코드 속에는 2018년 11월에 발견된 코르커즈라는 채굴 멀웨어와 유사한 부분들이 포함되어 있다. 다만 코르커즈가 그랬던 것처럼 시스템 내 설치된 보안 제품을 삭제하려는 시도를 하지 않는다. 오히려 코르커즈 마이너와 루트킷 요소들을 삭제한다. 즉 살모사와 같이 시스템 속에서 태어난다는 것이다.

여기에 더해 또 다른 암호화폐 채굴 코드인 XMR-스택(XMR-Stak)의 변조된 버전을 다운로드 받기도 한다. XMR-스택은 CPU와 GPU를 모두 활용해 암호화폐친 크립토나이트(Cryptonight)를 채굴하는 멀웨어다. 트렌드 마이크로에 따르면 감염은 8161번 TCP 포트를 통한 웹 서비스나 IP 카메라에서부터 시작한다고 한다. “공격자들은 이 포트를 통해 크론탭 파일을 업로드합니다. 이 크론탭 파일은 JPG 이미지처럼 보이는 셸 스크립트를 다운로드 받아 실행시킵니다.”

이 셸 스크립트가 이전에 설치된 멀웨어들을 삭제하고, 관련된 모든 요소들을 제거하는 기능을 가진 것이다. 또한 새로운 디렉토리, 파일을 만들고 특정 IP 주소와 관련이 있는 프로세스들을 중지시킨다.

그 다음으로 셸 스크립트는 코인 채굴 바이너리를 추가로 다운로드 한다. 이 과정에서 다른 스크립트도 하나 더 다운로드 되는데, 이 스크립트가 크론탭을 작동시킨다. “매일 새벽 1시에 채굴 바이너리를 작동시키는 역할을 합니다. 채굴을 그 때부터 시작하는 것이죠.”

물론 다른 경쟁 멀웨어를 삭제하는 멀웨어가 등장한 것이 이번이 처음은 아니다. 그러나 ‘리눅스 멀웨어만’ 이 정도 규모로 삭제하는 기능을 가진 멀웨어가 등장한 건 처음이라고 트렌드 마이크로는 설명한다.

“경쟁자가 될 만한 것들을 제거하는 건 흔한 방식입니다. 범죄자들이 자신의 이득을 극대화하려고 하기 때문이죠. 앞으로도 이런 멀웨어들은 계속해서 나타날 겁니다. 다만 리눅스 멀웨어만을 이렇게까지 노리는 건 처음 보는 현상입니다.”

3줄 요약
1. 새로운 리눅스용 암호화폐 채굴 멀웨어 등장.
2. IP 카메라 등으로부터 감염 시작하고, 시스템 내 다른 멀웨어 모두 삭제.
3. 리눅스의 크론탭 기능 사용해 매일 새벽 1시에 채굴 시작.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>