지난 11월, 시큐리티위크에서 웹사이트에 악성 iFrames를 삽입하던 리눅스 루트킷 악성모듈에 대해 보도한바 있다. 이 모듈은 전문가들에 의해 백도어를 열어 SSH에 링크하는 악성코드의 고유 부분으로 인식되었다.
 
그로부터 몇 주 후에 추가적으로 하이잭당한 웹컨텐츠에 링크하는 악성 아파치 모듈을 연구, 보도 했었다. 이 악성코드는 실질적으로 리눅스 기반의 모든 서비스를 감염할 목적으로 설계되었지만, ESET 연구원는 뱅킹트로이인 Zbot(ZeuS)계열의 변형 악성코드라고 말했다.
(dailysecu.com/news_view.php?article_id=3469 )
 
루트킷이 발견된 당시, 카스퍼스키 랩은 “뛰어난” 검사 샘플이라고 칭했다.
 
“이는 뛰어난 생플이다. 그 이유는 64비트 리눅스 플랫폼 뿐만 아니라 사용자가 개발할 기술환경에서도 스스로 숨는다, 그런데 특이한 점은 공격당한 HTTP 서버에서 웹사이트를 호스트하고 그러므로 drive-by download 시나리오로 작동된다.” 라고 카스퍼스키의 Marta Janus 가 밝혔었다.
 
상황이 정리되고 더 많은 이야기가 있었다. 수요일에 웹 보안 회사 ‘Sucuri’에서 연구원에 의해 게시된 블로그 포스트는 루트킷 공격에 사용되는 해킹서버에서 SSH 데몬의 백도어버전의 발견을 설명했다.
 
 “우리는 공격자가 모든 SSH 바이너리를 수정하고, 모든 버전에 액세스권한을 제공하는 버전을 삽입한 것을 확인했다. 그러나 공격자가 소유한 서버에 대한 액세스를 유지하는 방법에 대한 다른 부분에 대해선 우리가 아직 발견하지 못했다”라고 블로그 포스트로 설명했다.
 
공격자들은 여전히 감염된 SSH 바이너리를 검토하고 있다. 그러나 Securi는 때마다 누군가가 서서버 로그인하는 것을 확인했다. 그리고 공격자는 로그인정보를 기록하기 위해 새로이 탈취한 데몬 액세스를 사용한다. 루트킷을 제거하고 암호를 변경해도 그들은 감염된 SSH에 접속한다는 것은 서버 제어권을 유지한다는 것을 알 수 있다.
 
<참고사이트>
-www.securityweek.com/ssh-backdoor-linked-linux-rootkits
 
About 김민주 객원기자
TeamWANG 소속. ISEC2009, 2009 순천향대, 2012 시큐인사이드, 2012 HUST 등 여러 해킹대회 참가. 동아리 활동은 DoRoSiRus(2009), Trace(2009~2010), TempTMP(2012), TeamWang(2012) 등에서 활동. 보안분야 관심사는 System Hacking, Virus 등. 주요 연구 내용은 시스템 제로데이, NFC 해킹 등 시스템 관련 내용들이다. 장래 희망은 보안전문가가 되는 것
 
[데일리시큐 김민주 객원기자 brian020305@gmail.com]