ClickCease 무료 다운로드 관리자 Linux 사용자 경고: 공급망 공격

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

무료 다운로드 관리자 Linux 사용자 경고: 공급망 공격

로한 티말시나

2023년 9월 28일 TuxCare 전문가 팀

시큐어리스트는 리눅스 사용자들을 위해 널리 사용되는 '무료 다운로드 관리자'와 관련된 데비안 패키지에 멀웨어가 포함되어 있어 의심하지 않는 사용자들에게 상당한 보안 위험을 초래할 수 있다는 사실을 공개했습니다.

또한 시큐리스트의 원격 분석 데이터에 따르면 2023년 상반기에만 무려 26만 개의 Linux 인스턴스가 멀웨어 및 기타 악성 활동과 연결된 것으로 나타났습니다.

 

무료 다운로드 관리자 데비안 저장소가 감염되었습니다.

근본적인 문제는 도메인에 연결된 Debian 리포지토리에 있습니다. deb.fdmpkg[.]org. 이 웹 도메인을 방문하면 사용자는 악의적인 의도를 숨기고 있는 무해해 보이는 웹 페이지를 보게 됩니다. 이 하위 도메인은 많은 사람들이 사용하는 유명한 소프트웨어인 '무료 다운로드 관리자'의 데비안 리포지토리를 호스팅한다고 주장합니다.

면밀히 조사한 결과, 저희 조사팀은 '무료 다운로드 관리자'를 통해 다운로드할 수 있는 데비안 패키지를 발견했습니다. https://deb.fdmpkg[.]org/freedownloadmanager.deb URL. 이 패키지에는 설치 중에 실행되는 손상된 'postinst' 스크립트가 숨겨져 있었습니다. 이 스크립트는 두 개의 ELF 파일을 은밀하게 다음 위치에 저장합니다. /var/tmp/crond 그리고 /var/tmp/bs 디렉터리에 저장된 크론 작업을 통해 지속성을 설정합니다. /etc/cron.d/collect. 이 작업을 수행하면 /var/tmp/crond 파일의 실행을 10분마다 확인합니다.

감염된 패키지는 2020년 1월 24일로 거슬러 올라간다는 점에 유의해야 합니다. 'postinst' 스크립트에는 러시아어와 우크라이나어로 된 주석이 있어 멀웨어의 진화와 공격자의 동기에 대한 통찰력을 제공합니다.

 

배시 도용 스크립트

설치 시 패키지에 실행 파일이 설치됩니다, /var/tmp/crond역할을 하는 백도어. 특히 이 실행 파일은 외부 라이브러리와는 독립적으로 작동하지만 정적으로 연결된 dietlibc 라이브러리와 시스템 호출을 연결하여 Linux API에 액세스합니다.

초기화 시 백도어는 다음 주소에서 헥사 인코딩된 20바이트 문자열에 대한 DNS 요청을 시작합니다. <hex-encoded 20-byte string>.u.fdmpkg[.]org. 이 요청은 두 개의 IP 주소를 생성하여 보조 명령 및 제어(C2) 서버의 주소와 포트를 공개합니다. 이 악의적인 통신 프로토콜은 연결 유형에 따라 SSL 또는 TCP를 사용할 수 있습니다. SSL을 사용하는 경우, /var/tmp/bs 를 활성화하면 추가 통신이 가능하며, 그렇지 않으면 크론드 백도어 자체에서 리버스 셸을 생성합니다.

공격자의 전술을 자세히 조사한 결과, 저희 팀은 크론드 백도어가 리버스 셸을 생성한다는 사실을 발견했습니다. 이 은밀한 침입자는 시스템 정보, 검색 기록, 저장된 비밀번호, 암호화폐 지갑 파일, AWS, Google Cloud, Oracle Cloud Infrastructure, Azure와 같은 클라우드 서비스에 대한 자격 증명을 포함한 다양한 민감한 데이터를 수집합니다.

그 후, 침입자는 C2 서버에서 업로더 바이너리를 다운로드하여 다음 위치에 저장합니다. /var/tmp/atd. 그런 다음 이 바이너리를 사용하여 탈취한 데이터를 공격자의 인프라로 전송하여 악의적인 작전을 마무리합니다.

 

결론

놀랍게도 공식 웹사이트는 멀웨어를 호스팅하지 않으며, 대신 일부 Linux 사용자는 손상된 deb 파일로 리디렉션됩니다. 2020년부터 2022년 사이에 무료 다운로드 관리자에서 의심스러운 동작을 발견했다는 사용자들의 보고가 Reddit과 StackOverflow에 몇 건 올라왔습니다.

현재 시스템에 '무료 다운로드 관리자' 데비안 패키지가 설치되어 있는 경우 즉시 제거할 것을 강력히 권장합니다. FDM 개발자는 이 공급망 공격이 보고된 후 Linux 디바이스의 잠재적 감염을 탐지하기 위한 스크립트도 공개했습니다.

 

이 글의 출처는 DebugPointNews의 기사입니다.

요약
무료 다운로드 관리자 Linux 사용자 경고: 공급망 공격
기사 이름
무료 다운로드 관리자 Linux 사용자 경고: 공급망 공격
설명
무료 다운로드 관리자 공급망 공격은 배쉬 스틸러가 포함된 악성 Debian 패키지로 Linux 사용자를 표적으로 삼습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기