본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

자료실 게시판

자료실 게시판 상세보기
리눅스 시스템을 노리는 변종 ‘XOR.DDoS' 루트킷 트로이안 발견2015.01.13

개요

  • 보안업체 Avast社의 PETER KÁLNAI 분석가는 DDoS 공격을 위해 네트워크의 리눅스 시스템을 노리는 변종 ‘XOR.DDOS’ 트로이목마를 발견

 

주요내용

  • 악성코드 감염 과정 및 특징

- ‘XOR.DDOS’ 트로이목마는 최초 리눅스 시스템의 SSH 기본 로그인 계정을 변경하지 않는 시스템의 패스워드를 노려 무차별 대입공격을 통해 공격을 시도

- 만약 공격에 성공한 경우, 악성코드는 피해 시스템에 쉘 스크립트를 통해 트로이목마를 설치되며, 메인 함수에는 명령조종지 선택 및 암호화 기능이 포함됨
- 이번 변종의 가장 큰 특징은 리눅스 환경에 따라 설치 내용이 변경되고, 탐지 시스템을 회피하기 위해 피해 시스템의 리눅스티 커널 해더에 자신을 숨기기 위해 루트킷을 설치함
  ※ 리눅스 버전에 따라 다양한 루트킷 모듈을 설치하는 것으로 확인
- 루트킷으로 인해 피해 시스템은 악성코드가 외부 시스템과의 연결 및 실행 프로세스 확인 등이 불가
'XOR.DDoS' 악성코드 구조
<'XOR.DDoS' 악성코드 구조>
  • 악성코드 감염 대상

- 악성코드는 32bit 및 64bit 리눅스 웹 서버 및 데스크탑

- ARM 구조 기반의 라우터(공유기 등), IoT(사물 인터넷) 장비들
- NAS 저장 장치 및 32bit ARM 서버
  • 현재까지 감염확대는 확인되고 있지 않지만, 봇넷기반의 루트킷 기능이 있는 악성코드인 만큼 리눅스 운영체제 기반의 장비를 사용하는 기업 및 개인 사용자들은 순식간에 감염되어 디도스 공격 등에 이용될 수 있으므로 사용자들의 주의가 필요함

 

[출처]

  1. Avast Blog, Linux DDoS Trojan hiding itself with an embedded rootkithttps://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/#more-33072, 2015.1.6
  2. SC MAGAZINE - Stealthy 'XOR.DDoS' trojan infects Linux systems, installs rootkithttp://www.scmagazine.com/malware-targets-linux-and-arm-architecture/article/391497/, 2015.1.7

 

작성 : 침해사고대응단 종합상황팀

키워드 루트킷 , 리눅스 , 트로이안
  1. 이전글
    이전글이 존재하지 않습니다.