악성코드 은폐하는 ‘Reptile’ 악성코드, 리눅스 시스템 노린다

디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽의 은폐 지원
Magic Packet을 트리거로 동작하는 방식으로 ‘Syslogk’과 유사성 보여

[보안뉴스 박은주 기자] ‘Reptile’은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드다. 리눅스 시스템 대상 커널 모듈 루트킷으로 깃허브에 오픈소스로 공개돼 있다. 주로 파일 및 프로세스, 네트워크 통신을 은폐 대상으로 삼는다. Reptile은 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽의 은폐를 지원한다.

안랩 ASEC 분석팀에 따르면 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. 일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 차이점을 보인다. Reptile이 지원하는 기능 중 가장 특징적인 것은 ‘Port Knocking’ 기법이다. 우선 감염 시스템에서 특정 포트를 오픈하고 대기한다. 이후 공격자가 해당 시스템에 ‘Magic Packet’을 보낼 때 전달받은 패킷을 기반으로 명령제어(C&C) 서버에 접속하는 방식이다.

과거 Avast의 보고서에서 언급된 Syslogk와 유사하다. 감염 시스템에서 대기하다가 Magic Packet을 트리거로 동작하는 방식, 공격에 함께 사용할 백도어 악성코드로서 Rekoobe 즉 커스터마이징된 TinySHell을 사용했다는 점이 유사하다.

오픈소스인 Reptile은 깃허브에서 공개된 이후 꾸준히 공격에 사용되고 있다. 일례로 최근 맨디언트(Mandiant)의 보고서에서도 특정 보안 제품의 제로데이 취약점을 이용해 공격 중인 중국 기반의 공격그룹이 공격에 Reptile을 함께 사용한 사례가 확인됐다. 이외에도 ‘Mélofée’ 악성코드를 분석한 ExaTrack의 보고서에서도 Reptile 루트킷을 확인할 수 있다. ExaTrack은 당시 공격을 중국을 기반으로 하는 Winnti 공격 그룹의 소행으로 보고 있다.

출처:https://m.boannews.com/html/detail.html?idx=120414

이 게시글이 문제가 될 시, 삭제하겠습니다