|
리눅스 맬웨어는 오픈 소스 도구를 사용하여 탐지를 회피한다 침해사고분석팀 2021.01.28 |
|
|
AT&T Alien Labs 보안 연구원은 TeamTNT 사이버 범죄 그룹이 오픈 소스 탐지 회피 기능으로 리눅스 암호화 마이닝을 업그레이드한 것을 발견했다.
TeamTNT는 대부분 허가받지 않은 Monero(XMR) 마이닝을 위해 인터넷에 노출된 Docker 인스턴스를 대상으로 삼고 손상시키는 것으로 알려져 있다.
그러나, 이 그룹은 감염된 서버에서 사용자 자격 증명을 수집하기 위해 Black-T라는 리눅스 크립토 재킹 멀웨어를 업데이트하여 전술을 바꾸었다.
TeamTNT는 악의적인 코인마이너 페이로드를 감염시키고 리눅스 장치에 배포한 후 탐지를 회피하기 위해 멀웨어를 추가로 업그레이드했다.
AT&T Alien Labs 보안 연구원인 Ofer Caspi는 보고서에서 "이 그룹은 오픈 소스 저장소에서 복사한 새로운 탐지 회피 도구를 사용하고 있다"고 말했다.
이 도구는 libprocesshider로 알려져 있으며 Github에서 사용할 수 있는 오픈 소스 도구로, ld 프리로더를 통해 리눅스 프로세스를 숨기는 데 사용할 수 있다.
Caspi는 "새로운 도구의 목적은 'ps'나 'lsof'와 같은 프로세스 정보 프로그램으로부터 악성 프로세스를 숨겨 사실상 방어 회피 기법으로 작용하는 것"이라고 덧붙였다.
탐지 회피 도구는 TeamTNT ircbot 또는 cryptominer 바이너리에 포함된 base64 인코딩 bash 스크립트로 감염된 시스템에 배포된다.
[그림1. 디코딩된 프로세스를 숨기는 스크립트]
손상된 시스템에서 스크립트가 시작되면 다음과 같은 작업을 수행할 수 있다.
- 네트워크 DNS 구성 수정 - systemd를 통해 지속성 설정 - 새 도구 드롭 및 서비스 활성화 - 최신 IRC 봇 구성 다운로드 - 잠재적인 방어 행동을 복잡하게 만드는 활동의 명확한 증거
모든 단계를 거친 후 Black-T 맬웨어는 시스템의 bash 기록을 삭제하여 모든 악의적인 활동 흔적을 자동으로 지운다.
Caspi는 "libprocesshider를 사용하여 TeamTNT는 사용 가능한 오픈 소스 도구를 기반으로 역량을 확장했다."라고 결론 내렸다.
libprocesshider의 새로운 기능은 탐지 및 기타 기본 기능을 회피하는 것이지만 호스트 차원에서 악성 행위를 찾을 때 고려해야 할 지표로 작용한다.
암호 화폐 마이닝 봇넷은 2020년 5월 MalwareHunterTeam에 의해 처음 발견되었으며, 향후 Docker 타겟팅 선호도를 발견한 Trend Micro에서 분석했다.
맬웨어는 잘못 구성된 서버를 감염시킨 후 새로운 컨테이너에 자체 배포하고, Monero(XMR) 암호 화폐 마이닝을 시작하는 악성 페이로드 바이너리를 삭제한다.
8월에 Cado Security는 TeamTNT 웜의 새로운 AWS 자격 증명 수집 기능을 발견하여 이 기능을 갖춘 최초의 크립토 재킹 봇넷이 되었다.
한 달 후, Intezer는 피해자의 Docker, Kubernetes, 분산 클라우드 운영 체제(DC/OS) 또는 AWS ECS(Elastic Compute Cloud) 클라우드 인프라를 관리하기 위해 합법적인 Weave Scope 오픈 소스 도구를 배포하는 동안 멀웨어를 발견했다.
이달 초 TeamTNT는 오픈 소스 Ezuri 크립터와 메모리 로더를 사용하여 바이러스 백신 제품에서 맬웨어를 사실상 탐지할 수 없도록 만들기 시작했다.
출처 https://www.bleepingcomputer.com/news/security/linux-malware-uses-open-source-tool-to-evade-detection/ |
