220420_유명조달기업
리눅스 겨냥한 새로운 멀웨어 ‘라이트닝 프레임워크’ 발견
상태바
리눅스 겨냥한 새로운 멀웨어 ‘라이트닝 프레임워크’ 발견
  • 곽중희 기자
  • 승인 2022.07.22 14:09
  • 댓글 0
이 기사를 공유합니다

모듈식 구조로 루트킷 설치할 수 있어

 

리눅스 운영체제를 공격하는 '라이트닝 프레임워크(Lightning Framework)'라는 새로운 멀웨어가 발견됐다. 

Intezer의 연구팀에 따르면, 라이트닝 프레임워크는 리눅스 운영체제를 대상으로 하며 이전에는 탐지되지 않았던 새로운 종류의 멀웨어다. 이 멀웨어는 모듈식 구조를 가지고 있으며 루트킷을 설치할 수 있는 것으로 알려진다.

보안 전문가에 따르면, 라이트닝 프레임워크는 모듈식 플러그인과 루트킷을 설치할 수 있는 기능이 있는 새로운 Swiss Army Knife와 유사하다.

전문가들은 리눅스 시스템을 대상으로 개발된 멀웨어 중 이렇게 복잡한 프레임워크는 보기 드물다고 말한다.

라이트닝 프레임워크는 여러 유형의 루트킷을 설치하고 다른 플러그인을 실행할 수 있다. 또한 감염된 시스템에서 SSH(시큐어 셀)를 열 수 있다. 다운로더와 핵심 모듈로 구성돼 있으며 여러 플러그인을 사용해 기능을 확장하고, 그 중 일부는 오픈 소스 도구에 해당한다.

 

라이트닝 프레임워크 멀웨어

이 멀웨어 다운로더의 주요 기능은 다른 구성 요소를 가져와 핵심 모듈을 실행하는 것이ㄷ. 코어 모듈은 Commend와 Control에서 명령을 수신하고 플러그인을 실행하도록 설계됐다. 일부 구성 요소는 아직 발견 및 분석되지 않았다.

멀웨어는 탐지를 피하기 위해 타이포스쿼팅(URL 하이재킹)을 사용합니다. 예를 들어 Seahorse GNOME 암호 및 암호화 키 관리자로 가장한다. 코어와 다운로더 모듈은 모두 데이터가 JSON 구조에 있는 동안 TCP(전송 제어 프로토콜) 소켓을 통해 C2와 통신한다.

C2는 모든 단일 생성에 대해 고유한 다형성으로 인코딩된 구성 파일에 저장된다. 이는 구성 파일이 해시 기술을 통해 감지될 수 없음을 의미한다. 키는 인코딩된 파일의 시작 부분에 내장돼 있다.

운영자가 RunShellPure 명령을 실행하면, 멀웨어는 수동 통신 모드를 사용할 수도 있다. 이것은 하드코딩된 개인 및 호스트 키가 있는 OpenSSH 데몬인 Linux.Plugin.Lightning.Sshd  플러그인을 사용해 감염된 시스템에서 SSH를 시작한다. 운영자는 자신의 SSH 키를 사용해 감염된 시스템에서 SSH를 열 수 있다.

전문가들은 멀웨어가 악성 아티팩트의 타임스탬프를 수정해 정체를 숨긴다는 사실도 알아냈다. 파일에는 whoami, find, su의 시간과 일치하도록 편집된 마지막 수정 시간이 있다. 또한 프레임워크는 배포할 수 있는 루트킷 중 하나를 사용해 프로세스 ID(PID) 및 관련 네트워크 포트를 숨긴다. 핵심 모듈은 시스템 부팅 시 실행되는 /etc/rc.d/init.d/ 아래에  elastisearch라는 스크립트를 생성하여 지속성을 달성한다.

Intezer 연구원은 “이처럼 리눅스를 대상으로 개발된 대규모 프레임워크를 보는 게 흔치 않기 때문에 흥미롭다. 모듈의 문자열과 코드를 기반으로 누락된 일부 정보를 통해 이 멀웨어의 복잡성을 어느 정도 유추해 볼 수 있다”라고 말했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.