악성코드 은폐하는 ‘Reptile’ 악성코드, 리눅스 시스템 노린다
] ‘Reptile’은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드다. 리눅스 시스템 대상 커널 모듈 루트킷으로 깃허브에 오픈소스로 공개돼 있다. 주로 파일 및 프로세스, 네트워크 통신을 은폐 대상으로 삼는다. Reptile은 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽의 은폐를 지원한다.
안랩 ASEC 분석팀에 따르면 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. 일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 차이점을 보인다. Reptile이 지원하는 기능 중 가장 특징적인 것은 ‘Port Knocking’ 기법이다. 우선 감염 시스템에서 특정 포트를 오픈하고 대기한다. 이후 공격자가 해당 시스템에 ‘Magic Packet’을 보낼 때 전달받은 패킷을 기반으로 명령제어(C&C) 서버에 접속하는 방식이다.
과거 Avast의 보고서에서 언급된 Syslogk와 유사하다. 감염 시스템에서 대기하다가 Magic Packet을 트리거로 동작하는 방식, 공격에 함께 사용할 백도어 악성코드로서 Rekoobe 즉 커스터마이징된 TinySHell을 사용했다는 점이 유사하다.
국내 리눅스 시스템 공격에 사용되고 있는 리쿠베 백도어 분석해보니
리쿠베(Rekoobe)는 중국의 APT31 해킹그룹이 사용하고 있는 것으로 알려진 백도어 악성코드다. 우리나라에서는 수년 전부터 국내 고객사들로부터 리쿠베 악성코드가 꾸준하게 접수되고 있는 것으로 알려졌다.
ELF 포맷의 리쿠베는 아키텍처가 x86, x64, SPARC인 것을 보아 리눅스 서버를 공격 대상으로 하는 것으로 추정된다.
프로세스 이름 변경과 같은 보조적인 기능을 제외하면 명령제어(C&C) 서버의 명령을 받아 수행하는 ‘다운로드’, ‘업로드’, ‘명령 실행’ 등 3가지 기능이 전부다.