리눅스 공급망 공격 탐지하는 새로운 XZ 백도어 스캐너 개발돼
이 사건은 최신 버전의 XZ Utils 패키지, 특히 5.6.0 및 5.6.1 버전에서 발견된 백도어와 관련이 있다. 이 공격은 롤링 릴리스 모델로 알려진 리눅스 배포판인 Debian Sid에서 SSH 로그인을 조사하던 중 우연히 백도어가 발견됐다.
이 백도어는 GCC 컴파일러의 GNU 간접 함수(IFUNC) 속성을 활용하여 실행 흐름에 악성코드를 삽입한다.
바이널리의 스캐너는 바이트 문자열 매칭 및 파일 해시 차단 목록과 같은 기존의 방법을 넘어서는 새로운 접근 방식을 통해 이 백도어를 탐지한다. 대신 바이너리에 대한 정적 분석을 사용해 GNU IFUNC의 트랜지션 변조를 식별한다. 특히, 스캐너는 악성 IFUNC 리졸버를 이식하는 동안 의심스러운 것으로 플래그가 지정된 트랜지션을 면밀히 조사한다. 바이너리의 동작 분석에 집중함으로써 Binarly의 스캐너는 다른 프로젝트에서 유사한 백도어를 잠재적으로 탐지해 더 넓은 보호 범위를 보장할 수 있다.
xz.fail에서 온라인으로 제공되는 백도어 스캐너는 사용자가 바이너리 파일을 업로드하여 무제한 무료로 검사할 수 있다. 바이널리 측은, 재컴파일이나 코드 변경 후에도 백도어의 변종을 자동으로 탐지하는 스캐너의 기능을 강조했다.
이번 스캐너 개발은 리눅스 생태계 내에서 소프트웨어 공급망 위협에 대응할 수 있을 것으로 보안전문가들은 보고 있다.
이에 미국 사이버보안 및 인프라 보안국(CISA)은 XZ Utils 패키지를 안전한 버전으로 다운그레이드하고 악성 활동을 주의 깊게 모니터링하는 등의 조치를 권고했다.
공급망 공격이 확산되면서 소프트웨어 시스템의 무결성과 보안에 심각한 위험을 초래하고 있는 가운데, 바이널리의 스캐너와 같은 고급 탐지 기술의 개발과 도입은 이러한 위협을 완화하고 전반적인 사이버 복원력을 강화하는데 도움이 될 전망이다.
