ClickCease 멀웨어를 포함하는 리눅스용 가짜 PoC 취약점

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

멀웨어를 포함하는 리눅스용 가짜 PoC 취약점

로한 티말시나

2023년 7월 25일 TuxCare 전문가 팀

사이버 보안 연구원을 노리는 가짜 개념 증명(PoC) 익스플로잇이 등장하여 Linux 비밀번호를 훔치도록 설계된 멀웨어를 설치합니다. Uptycs 분석가들은 탐지 시스템이 예기치 않은 네트워크 연결, 시스템에 대한 무단 액세스 시도, 비정상적인 데이터 전송 등 의심스러운 활동을 탐지하는 일상적인 검사 중에 이 악성 PoC를 우연히 발견했습니다.

이 악성 가짜 PoC는 처음에 GitHub의 리포지토리 세 곳에서 호스팅되었지만 이후 삭제되었습니다. 그럼에도 불구하고 악성 PoC가 보안 연구원 커뮤니티에 널리 유포되어 수많은 컴퓨터의 잠재적 감염에 대한 우려가 제기되고 있는 것으로 보고되었습니다.

 

가짜 PoC 세부 정보

이 가짜 PoC는 6.3.2 이전 Linux 커널 버전에 영향을 미치는 치명적인 사용 후 무료 취약점인 CVE-2023-35829에 대한 익스플로잇인 것으로 보입니다. 그러나 자세히 살펴보면 이 PoC는 실제로는 다른 Linux 커널 결함인 CVE-2022-34918을 겨냥한 이전의 진짜 익스플로잇의 복제본이라는 것이 분명해졌습니다.

이 코드는 커널 리소스를 분리하는 데 사용되는 Linux 네임스페이스를 사용하여 루트 셸의 외관을 만듭니다. 이러한 외관에도 불구하고 PoC의 권한은 사용자 네임스페이스 내에 한정되어 있습니다.

이러한 속임수를 사용하는 주요 목적은 피해자가 익스플로잇이 정품이고 정상적으로 작동한다고 믿도록 설득하는 것입니다. 이렇게 함으로써 공격자는 손상된 시스템에서 제한 없이 활동할 수 있는 시간을 벌 수 있습니다.

활성화되면 PoC는 'kworker' 파일을 생성하고 해당 경로를 '/etc/bashrc' 파일에 추가하여 시스템이 재부팅된 후에도 지속성을 보장합니다.

또한, PoC는 공격자의 명령 및 제어(C2) 서버와 통신을 설정하여 외부 URL에서 Linux bash 스크립트를 다운로드하고 실행합니다. 이렇게 다운로드된 스크립트는 '/etc/passwd' 파일에 액세스하여 시스템에서 중요한 데이터를 탈취하도록 설계되었습니다. 또한, '~/.ssh/authorized_keys' 파일을 조작하여 공격자에게 서버에 대한 무단 원격 액세스 권한을 부여합니다. 최종적으로 이 스크립트는 'curl'을 사용하여 'transfer.sh'로 데이터를 유출합니다.

도난당한 데이터는 피해자의 사용자 이름, 호스트 이름, 홈 디렉토리의 콘텐츠로 구성됩니다. 그러나 서버에 대한 원격 액세스가 보안이 유지되면 공격자는 이제 원하는 다른 정보를 수동으로 훔칠 수 있습니다.

bash 스크립트는 시스템 관리자가 이러한 항목을 신뢰하고 종종 간과하는 경향이 있다는 점을 악용하여 탐지를 방지하기 위해 커널 수준 프로세스로 작업을 위장합니다.

 

결론

Uptycs는 가짜 PoC를 다운로드하고 실행한 사용자들에게 승인되지 않은 SSH 키를 삭제하고, 'bashrc' 파일에서 'kworker' 파일과 해당 경로를 제거하며, '/tmp/.iCE-unix.pid' 파일에서 잠재적인 위협이 있는지 확인하라고 조언합니다.

연구자는 인터넷에서 다운로드한 PoC를 다룰 때 주의를 기울이는 것이 중요합니다. 이러한 PoC는 가상 머신과 같이 격리되고 안전한 환경에서 테스트해야 하며, 실행 전에 코드를 검사하는 것이 바람직합니다.

 

이 글의 출처는 BleepingComputer의 기사입니다.

요약
멀웨어를 포함하는 리눅스용 가짜 PoC 취약점
기사 이름
멀웨어를 포함하는 리눅스용 가짜 PoC 취약점
설명
사이버 보안 연구원을 표적으로 삼아 Linux 비밀번호를 훔치도록 설계된 멀웨어를 설치하는 가짜 PoC 익스플로잇이 등장했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기