리눅스 시스템을 노리는 변종 ‘XOR.DDoS' 루트킷 트로이안 발견

개요

• 보안업체 Avast社의 PETER KÁLNAI 분석가는 DDoS 공격을 위해 네트워크의 리눅스 시스템을 노리는 변종 ‘XOR.DDOS’ 트로이목마를 발견

주요내용

• 악성코드 감염 과정 및 특징

-‘XOR.DDOS’ 트로이목마는 최초 리눅스 시스템의SSH 기본 로그인 계정을 변경하지않는 시스템의 패스워드를노려무차별 대입공격을 통해 공격을시도

- 만약 공격에 성공한경우, 악성코드는 피해 시스템에쉘 스크립트를 통해 트로이목마를설치되며, 메인 함수에는 명령조종지선택 및 암호화 기능이포함됨

- 이번 변종의 가장큰 특징은 리눅스 환경에따라 설치 내용이 변경되고,탐지 시스템을 회피하기 위해피해 시스템의 리눅스티 커널해더에 자신을 숨기기 위해루트킷을 설치함

 ※리눅스 버전에 따라 다양한루트킷 모듈을 설치하는 것으로확인

- 루트킷으로 인해 피해시스템은 악성코드가 외부 시스템과의연결 및 실행 프로세스확인 등이 불가

 

<'XOR.DDoS' 악성코드 구조>

 

• 악성코드 감염 대상

- 악성코드는 32bit 및 64bit 리눅스 웹 서버및 데스크탑

-ARM 구조 기반의 라우터(공유기 등),IoT(사물 인터넷) 장비들

-NAS 저장 장치 및 32bit ARM 서버

• 현재까지 감염확대는 확인되고 있지 않지만, 봇넷기반의 루트킷 기능이 있는 악성코드인 만큼 리눅스 운영체제 기반의 장비를 사용하는기업 및 개인 사용자들은 순식간에 감염되어 디도스 공격 등에 이용될 수 있으므로 사용자들의 주의가 필요함

[출처]

1. Avast Blog, Linux DDoS Trojan hiding itself with an embedded rootkithttps://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/#more-33072, 2015.1.6
2. SC MAGAZINE - Stealthy 'XOR.DDoS' trojan infects Linux systems, installs rootkithttp://www.scmagazine.com/malware-targets-linux-and-arm-architecture/article/391497/, 2015.1.7

 

작성 : 침해사고대응단 종합상황팀