220420_유명조달기업
리눅스 백도어 활성화하는 루트킷 ‘Syslogk’ 발견
상태바
리눅스 백도어 활성화하는 루트킷 ‘Syslogk’ 발견
  • 곽중희 기자
  • 승인 2022.06.15 17:56
  • 댓글 0
이 기사를 공유합니다

리눅스 루트킷 Syslogk 관련 내용 캡처(출처: 시큐리티 어페어즈)

 

어베스트(Avast)의 보안 연구원이 백도어를 활성화하는 'Syslogk'라는 새로운 리눅스 루트킷을 발견했다.

루트킷(Rootkit): 악성 소프트웨어의 집합체로, 자신 또는 다른 소프트웨어의 존재를 가림과 동시에 허가되지 않은 컴퓨터나 소프트웨어의 영역에 접근할 수 있게 하는 용도로 설계된 킷

리눅스 루트킷은 운영 체제에 커널 모듈로 설치된 멀웨어로 설치가 되면 정상적인 리눅스 명령을 가로채 파일, 폴더, 프로세스 등 정보를 숨긴다. 또한 인증된 사용자 모드 프로세스에 접근해 시스템을 제어할 수도 있다다.

연구원에 따르면, Syslogk 루트킷은 Adore-Ng라는 리눅스용 오픈 소스 커널 루트킷을 기반으로 만들어진 것으로 파악됐다.

어베스트 연구원은 “커널 루트킷에는 커널 API의 list_del 기능을 통해 커널 모듈의 연결 목록에서 모듈을 제거하는 hide_module 기능을 사용한다. 이후 내부 module_hidden 플래그도 그에 따라 업데이트한다”라고 설명했다.

이어 “이 루트킷은 /proc 파일 시스템에 인터페이스를 노출하는 proc_write 함수에 구현된 기능을 가지고 있다. 이 기능은 값 1이 /proc/syslogk 파일에 기록될 때 손상 지표로 사용될 수 있다”라고 말했다.

또한 연구원에 따르면, Syslogk 루트킷은 지금도 개발되고 있으며 다음 버전에서는 새로운 기능을 구현할 가능성이 높다.

한편, 커널 루트킷은 rmmod 리눅스 명령을 사용해 메모리에서 제거할 수 있는 것으로 알려졌다.

어베스트 연구원은 낮은 권한 수준에서 실행되는 멀웨어는 높은 권한 수준에서 실행되는 프로세스를 쉽게 방해할 수 없으므로 보다 간단하게 처리할 수 있지만, 커널 루트킷은 높은 권한 수준에서 실행되기 때문에 탐지와 제거가 어려울 수 있어 가능한 빨리 사용자를 위한 보호 기능을 탑재하는 것이 중요하다고 강조했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.