리눅스 장비들을 노리는 새로운 봇넷 멀웨어가 나타났다. 정상 바이너리와 IaC 도구들을 악용해 증식하며, 피해자 시스템에 안착해서는 기존 암호화폐 채굴 멀웨어를 다 지우고 새 것을 설치한다.

[보안뉴스 문가용 기자] 리눅스 기반 시스템을 표적으로 삼는 봇넷 멀웨어가 새롭게 등장했다. 재미있는 건 이 멀웨어에 토르 프록시, 정상 데브옵스 도구 악용, 다른 경쟁 멀웨어 삭제 등 현재 유행하는 다양한 기술이 탑재되어 있다는 것이다. 이러한 내용을 보안 업체 트렌드 마이크로(Trend Micro)가 정리해 발표했다.


이 멀웨어는 토르 기반 익명 네트워크에서 최초 침투 후 필요한 스크립트(post-infection script), 공격에 활용될 정상 바이너리 등 필요한 파일을 다운로드 받을 수 있다고 한다. 이렇게 필요한 것들을 다운로드 받은 후 이를 바탕으로 HTTP 요청을 전송하고, 감염된 시스템에 대한 정보를 수집하고, 프로세스를 실행시킬 수 있게 된다.

공격자들은 프록시들로 구성된 거대한 네트워크를 보유하고 유지함으로써 표면 웹과 토르 네트워크가 상호 연결 상태에 머물도록 하고 있다. 이 프록시들은 IP 주소, 아키텍처, 사용자 이름 등 피해자 시스템과 관련된 다양한 정보를 전송하며, 이를 통해 어떤 바이너리를 다운로드 할지가 결정된다. 트렌드 마이크로에 의하면 이런 식으로 악용된 프록시 서버의 진짜 주인들은 침해 사실을 모르고 있는 것처럼 보인다고 한다.

트렌드 마이크로의 설명에 따르면 이 리눅스 멀웨어는 다양한 시스템 아키텍처를 지원하며, 추가 파일을 다운로드 받아 공격을 지속하기 전에 여러 가지 확인 절차를 거친다고 한다. 이 때문에 트렌드 마이크로는 “공격자가 리눅스 시스템에 대한 대형 공격을 본격적으로 시작하기 전에 준비 단계를 거치고 있는 것으로 보인다”고 추정하고 있다. 물론 그 대형 공격의 궁극적인 형태와 목표는 아직 알 수 없다.

이 멀웨어의 가장 큰 특징은 특정 클라우드 기반 서비스와 에이전트들을 무력화시키고, ‘코드형 인프라(IaC)’ 도구들을 남용한다는 것이다. 여기에는 앤서블(Ansible), 셰프(Chef), 설트스택(SaltStack) 등이 포함되어 있다. 이렇게 특정 서비스와 도구들을 무력화시킨 후, 정상 도구들을 남용하여 멀웨어는 다른 시스템으로 퍼져 간다.

그렇게 피해자의 시스템에 안착한 후에는 XM리그(XMRig)라는 모네로 채굴 도구를 설치하기 위한 작업을 시작한다. 이 단계에서 가장 중요한 건 다른 채굴 멀웨어를 찾아내 삭제하는 것이다. 컴퓨팅 자원을 자신들이 독차지하겠다는 것이 공격자의 의도다.

트렌드 마이크로는 “이번에 발견된 멀웨어는 다른 멀웨어나 모듈을 추가로 설치해 증식하지 않는다”는 중요한 특징을 짚기도 한다. “리눅스 OS만 있으면 증식할 수 있습니다. ss, ps, curl과 같은 도구들을 다운로드 받기는 하는데, 이는 가끔 이런 도구들이 없는 리눅스 환경이 있기 때문입니다. 그런 점만 제외하면 대부분의 리눅스 환경에서, 있는 그대로의 도구들만으로 증식하고 정보를 수집하기에 충분한 멀웨어라고 볼 수 있습니다.”

해당 멀웨어의 보다 상세한 내용은 여기(https://www.trendmicro.com/en_us/research/21/d/tor-based-botnet-malware-targets-linux-systems-abuses-cloud-management-tools.html)서 열람이 가능하다.

3줄 요약
1. 새로운 리눅스 멀웨어 등장. 토르를 기반으로 하고 있음.
2. 리눅스 OS의 일반 도구들고 IaC 도구들 활용해 증식.
3. 증식 이후에는 기존 암호화폐 채굴 멀웨어 삭제하고, 모네로 채굴 위한 멀웨어 설치.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>