리눅스를 위협하는 OrBit이라는 새로운 멀웨어가 발견됐다. 다만 이 멀웨어는 아직 구체적으로 탐지되지는 않았다.
보안 기업 Intezer의 보안 연구원에 따르면, OrBit은 공격자가 SSH(Secure Shell, 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜)를 통해 원격 접근에 필요한 자격을 얻어 TTY(유닉스 계열 운영체제 명령어)를 기록할 수 있게 만든다. 이를 통해 컴퓨터에서 실행 중인 모든 프로세스를 감염시킨다.
환경 변수 LD_PRELOAD를 수정해 공유 라이브러리를 가로채는 다른 공격과 달리, 이 멀웨어는 2가지 방법을 통해 악성 라이브러리를 로드한다. 첫 번째 방법은 로더가 사용하는 구성 파일에 공유 객체를 추가하는 것이며, 두 번째 방법은 로더 자체의 바이너리를 패치해 악의적인 공유 객체를 로드하는 것이다.
보안 연구원은 OrBit에서 최근에 공개된 Symbiote 악성코드와 유사한 점을 발견했다. 바로 둘 다 감염된 시스템에서 실행 중인 모든 프로세스를 감염시키도록 설계됐다는 것이다.
OrBit의 악성 페이로드는 영구 저장소 또는 /dev/shm/ldx/ 아래의 shim-memory에 배치할 수 있는 공유 개체다. 페이로드를 첫 번째 경로에 배치하면 공격이 지속성을 얻게 된다. 그렇지 않으면 일시적이다.
멀웨어는 읽기, 쓰기 기능을 연결해 감염된 시스템에서 실행된 프로세스 내의 데이터를 기록한다. 공격은 페이로드 libdl.so를 추출하고 동적 링커가 로드하는 공유 라이브러리에 추가하는 ELF 드로퍼(악성코드를 설치하기 위해 설계된 프로그램)로 시작된다.
보안 연구원은 "공유 객체 후크 기능은 libc, libcap, PAM(Pluggable Authentication Module) 등 3개 라이브러리에서 제공된다. 이 악성 라이브러리와 연결된 악성 프로그램이 전체 시스템을 감염시킨다. 또한 자격 증명을 통해 공격자에게 원격 접근을 제공한다. 그렇게 공격자는 탐지를 회피하고 지속적인 공격을 할 수 있게 된다”라고 말했다.
또한 연구원은 리눅스에 대한 위협이 계속 진화하고 있으며, 최근에는 Symbiote 및 Syslogk 와 같은 리눅스 관련 멀웨어가 계속 발견되고 있어 주의가 필요하다고 말했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
