Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향전자상거래 서버에 nginx 프로세스로 숨어있는 새로운 악성 프로그램
작성일 2021-12-03 조회 35

 

 

전자 상거래 서버는 보안 솔루션에 거의 보이지 않는 방식으로 Nginx 서버에 숨어 있는 원격 접속 맬웨어의 표적이 되고 있다.


이 위협은 NginRAT라는 이름을 얻었으며, NginRAT는 대상 애플리케이션과 원격 접속 기능 결합한 것으로 온라인 상점에서 결제 카드 데이터를 훔치는 서버측 공격에 사용되고 있다.


NginRAT는 북미와 유럽의 전자 상거래 서버에서 유효하지 않은 날짜에 실행되도록 예약된 작업에서 페이로드(Payload)를 숨기는 원격 접속 트로이 목마(RAT)인 CronRAT에 감염된 것으로 확인되었다.


NginRAT는 미국, 독일, 프랑스에서 서버를 감염시켰으며, 여기에서 합법적인 프로세스와 구별할 수 없는 Nginx 프로세스에 주입하여 탐지되지 않은 상태로 유지할 수 있게 했다.


보안 회사 Sansec의 연구진은 새로운 악성코드가 CronRAT를 전달한다고 설명하지만, 둘 다 손상된 시스템에 대한 원격 접속을 제공하는 동일한 기능을 수행한다.


Sansec의 위협 연구 책임자는 스텔스 유지를 위해 매우 다른 기술을 사용하면서도 두 개의 RAT는 원격 접속을 보존하기 위한 백업 역할을 하는 등 같은 역할을 하는 것으로 보인다고 말했다.


이러한 악성코드의 배후에 누가 있든 간에, 이를 사용하여 사용자가 제출한 데이터(POST 요청)를 기록할 수 있도록 하는 서버 측 코드를 수정하고 있다.


Sansec은 사용자 정의 CronRAT를 만들고 중국에 위치한 명령 및 제어 서버(C2) 서버와의 교환을 관찰한 후 NginRAT를 연구할 수 있었다.


연구원들은 정상적인 악의적 상호작용의 일부로 악성 공유 라이브러리 페이로드를 전송하고 실행하도록 C2를 속여 NginRAT "더 발전된 악성코드 조각"으로 위장했다.


"NginRAT는 기본적으로 탐지되지 않는 상태를 유지하기 위해 호스트 Nginx 애플리케이션을 가로채고 있다. 이를 위해 NginRAT는 Linux 호스트 시스템의 핵심 기능을 수정한다. 합법적인 Nginx 웹 서버가 이러한 기능(예: dlopen)을 사용하는 경우, NginRAT는 이를 가로채서 자체적으로 주입한다."고 Sansec 연구진은 말했다.


과정이 끝나면 Nginx 프로세스는 합법적인 프로세스와 구분하는 것이 사실상 불가능한 방식으로 원격 접속 악성코드를 내장한다.

 

 

 

[그림 1. 실행 중인 Nginx 프로세스]

 

 

Sansec은 기술 보고서에서 악성 Linux 시스템 라이브러리를 "/dev/shm/php-shared" 위치에 다운로드하는 사용자 정의 "dwn" 명령을 통해 NginRAT가 CronRAT의 도움을 받아 손상된 시스템에 도달했다고 설명한다.


그런 다음 일반적으로 시스템 라이브러리를 테스트하는 데 사용되는 Linux의 LD_PRELOAD 디버깅 기능을 사용하여 라이브러리를 시작한다.


실행을 가릴 가능성이 있는 위협 행위자는 마지막에 "도움말" 옵션을 여러 번 추가했으며, 명령을 실행하면 호스트 Nginx 앱에 NginRAT가 주입된다.

 

 

 

[그림 2. NginRAT 공격 구조]

 

 

NginRAT는 일반적인 Nginx 프로세스로 숨어 있고 코드는 서버 메모리에만 존재하기 때문에 이를 감지하는 것은 어려울 수 있다.


그러나 악성코드는 LD_PRELOAD와 LD_L1BRARY_PATH라는 두 개의 변수를 사용하여 실행되며, 관리자는 "typeo"가 포함된 후자를 사용하여 다음 명령을 실행하여 활성 악성 프로세스를 밝힐 수 있다.


$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/
/proc/17199/environ
/proc/25074/environ


Sansec은 서버에서 NginRAT가 발견되면 CronRAT에 의해 추가된 악성 프로그램도 서버에 숨어 있을 가능성이 높기 때문에 관리자는 cron 작업도 확인해야 한다고 말한다.

 

 

 

출처
https://www.bleepingcomputer.com/news/security/new-malware-hides-as-legit-nginx-process-on-e-commerce-servers/

첨부파일 첨부파일이 없습니다.
태그 NginRAT  CronRAT