220420_유명조달기업
탐지 불가능한 리눅스 백도어 Symbiote 발견
상태바
탐지 불가능한 리눅스 백도어 Symbiote 발견
  • 곽중희 기자
  • 승인 2022.06.10 09:48
  • 댓글 0
이 기사를 공유합니다

악성코드 심은 후 시스템 접근 권한을 제공해 데이터 해킹

보안 기업 인테저(Intezer)와 블랙베리(BlackBerry)가 Symbiote라는 새로운 리눅스 백도어를 발견했다.

• 백도어: 하드웨어나 소프트웨어 등의 개발 과정이나 유통 과정 중에 몰래 탑재되어 정상적인 인증 과정을 거치지 않고 보안을 해제할 수 있도록 만드는 악성코드

보안 연구원들에 따르면, Symbiote 멀웨어는 탐지하기가 거의 불가능한데 다른 리눅스 멀웨어와 달리 손상된 시스템에 피해를 입히기 위해 실행 중인 다른 프로세스를 감염시키기 때문이다.

이 멀웨어는 실행 중인 모든 프로세스에 로드되는 공유 개체(SO) 라이브러리이며 기생충처럼 시스템을 감염시킨다. 악성코드가 퍼지고 나면 해커에게 시스템에 대한 접근 권한을 제공하고 데이터를 해킹한다.

블랙베리 보안 연구원은 “컴퓨터가 이 멀웨어에 감염되면 다른 멀웨어까지도 발견할 수 없게 숨긴다. 그래서 탐지가 매우 어렵다. 추가로 모든 파일과 프로세스 및 네트워크 등이 영향을 받아 라이브 포렌식을 해도 아무 이상도 나타나지 않을 수 있다”라고 설명했다.

이어 “이 멀웨어는 접근 권한 제공 외에도 하드코딩된 암호를 사용해 시스템의 모든 사용자로 로그인하고 가장 높은 권한으로 명령을 실행할 수 있는 백도어를 제공한다. 연구에서도 Symbiote가 어떤 목적의 공격에 사용되고 있는지 판단할 증거를 찾지 못했다”라고 덧붙였다.

• BPF: 패킷 필터로 패킷을 분석하고 필터링 하는데 사용되는 커널 기반 가상 머신(in-kernel virtual machine)이다. BSD(유닉스 운영 체제의 일종)에서 처음 도입했으며 리눅스에서도 이 개념을 빌려와서 서브 시스템을 만들었다.

전문가들은 Symbiote가 사용하는 기술 중 하나인 BPF(Berkeley Packet Filter) 후킹 기능이라고 보고했다. 이는 악성 네트워크 트래픽을 숨기기 위해 개발된 최초의 리눅스 악성코드다.

한편 이 악성코드는 2021년 11월 처음 발견됐으며, 전문가들은 Banco do Brasil 및 Caixa와 같은 라틴 아메리카의 금융 부문을 공격하기 위해 설계됐다고 예측하고 있다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.