보안 기업 인테저(Intezer)와 블랙베리(BlackBerry)가 Symbiote라는 새로운 리눅스 백도어를 발견했다.
• 백도어: 하드웨어나 소프트웨어 등의 개발 과정이나 유통 과정 중에 몰래 탑재되어 정상적인 인증 과정을 거치지 않고 보안을 해제할 수 있도록 만드는 악성코드
보안 연구원들에 따르면, Symbiote 멀웨어는 탐지하기가 거의 불가능한데 다른 리눅스 멀웨어와 달리 손상된 시스템에 피해를 입히기 위해 실행 중인 다른 프로세스를 감염시키기 때문이다.
이 멀웨어는 실행 중인 모든 프로세스에 로드되는 공유 개체(SO) 라이브러리이며 기생충처럼 시스템을 감염시킨다. 악성코드가 퍼지고 나면 해커에게 시스템에 대한 접근 권한을 제공하고 데이터를 해킹한다.
블랙베리 보안 연구원은 “컴퓨터가 이 멀웨어에 감염되면 다른 멀웨어까지도 발견할 수 없게 숨긴다. 그래서 탐지가 매우 어렵다. 추가로 모든 파일과 프로세스 및 네트워크 등이 영향을 받아 라이브 포렌식을 해도 아무 이상도 나타나지 않을 수 있다”라고 설명했다.
이어 “이 멀웨어는 접근 권한 제공 외에도 하드코딩된 암호를 사용해 시스템의 모든 사용자로 로그인하고 가장 높은 권한으로 명령을 실행할 수 있는 백도어를 제공한다. 연구에서도 Symbiote가 어떤 목적의 공격에 사용되고 있는지 판단할 증거를 찾지 못했다”라고 덧붙였다.
• BPF: 패킷 필터로 패킷을 분석하고 필터링 하는데 사용되는 커널 기반 가상 머신(in-kernel virtual machine)이다. BSD(유닉스 운영 체제의 일종)에서 처음 도입했으며 리눅스에서도 이 개념을 빌려와서 서브 시스템을 만들었다.
전문가들은 Symbiote가 사용하는 기술 중 하나인 BPF(Berkeley Packet Filter) 후킹 기능이라고 보고했다. 이는 악성 네트워크 트래픽을 숨기기 위해 개발된 최초의 리눅스 악성코드다.
한편 이 악성코드는 2021년 11월 처음 발견됐으며, 전문가들은 Banco do Brasil 및 Caixa와 같은 라틴 아메리카의 금융 부문을 공격하기 위해 설계됐다고 예측하고 있다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.