리눅스에 크립토마이너 심는 새로운 악성 패키지 발견

보안 기업 Sonatype 연구팀이 리눅스 시스템에서 파일리스 크립토마이너를 드롭하도록 설계된 secretslib라는 새로운 악성 PyPI(Python Package Index) 패키지를 발견했다.

패키지 운영자는 이 패키지를 사용하면 매칭 및 검증이 훨씬 쉬워진다고 설명한다. 패키지는 2020년 8월 6일 이후 총 93회 다운로드된 것으로 알려진다.

Secretslib 연구팀에 따르면, 악성 패키지는 리눅스의 머신 RAM에서 직접 크립토마이너를 실행한다. 이 기술은 파일리스 멀웨어와 크립토재킹에서 주로 사용된다.

악성 패키지는 원격 서버에서 리눅스 실행 파일을 가져와 실행하고, ELF 파일을 메모리에 직접 드롭한다. 이후 memfd_create 시스템 호출로 생성된 Monero 암호화 채굴기를 사용한다.

연구팀은 “memfd_create와 같은 리눅스 시스템 호출을 통해 프로그래머는 디스크에 파일을 쓰는 대신 RAM에 익명 파일을 드롭할 수 있다. 악성 파일을 하드 드라이브로 출력하는 중간 단계를 건너뛰기 때문에 바이러스 백신 제품이 현재 시스템의 메모리 내의 파일리스 멀웨어를 찾아내는 것이 쉽지 않을 수 있다. 하지만 탐지가 불가능한 정도는 아니다”라고 분석했다.

한편, 이 악성 패키지는 미국 에너지부(Department of Energy)를 위해 UChicago Argonne LLC에서 운영하는 일리노이 소재 과학 및 엔지니어링 연구 연구소인 Argonne National Laboratory에서 일하는 엔지니어의 이름을 사용하고 있다.  

 

위 게시글에 문제가 있을 시, 삭제하겠습니다.

출처 : http://www.cctvnews.co.kr/news/articleView.html?idxno=233198