타깃 시스템에 기생하며 공격자가 침입한 사실을 은폐해 주는 리눅스 악성코드가 발견됐다. 은폐 특성이 강한 만큼 거의 탐지가 불가능해, 악성코드가 얼마나 퍼져 있는지 확인 조차 어려운 것으로 평가된다.
블랙배리 위협연구 및 인텔리전스팀은 9일(현지시간) 블로그(☞링크)를 통해 타깃 시스템에 기생하는 성질을 가진 악성코드를 발견하고 '심비오트'로 명명했다고 밝혔다.
연구팀에 따르면 심비오트는 일반적인 리눅스 악성코드와 달리, 실행 중인 프로세스를 손상하려는 시도를 하지 않는다. 대신 LD_PRELOAD를 통해 실행 중인 모든 프로세스에 로드되는 '공유객체' 라이브러리로 활동한다.
LD_PRELOAD는 리눅스에서 사용되는 환경 변수로, 프로세스가 실행될 때 환경 변수에 지정된 공유객체 라이브러리가 우선 로드된다.
심비오트는 공유객체 라이브러리 형태를 취하며 타깃 머신을 "기생적으로" 손상시키고, 시스템에 침투해 공격자에게 '루트킷'을 제공한다. 루트킷은 시스템에 해커가 침입한 흔적을 숨겨주는 기능을 말한다.
관련기사
- 진화하는 해커, 안 들키게 차근차근 개인정보 털어간다2022.06.03
- '분실 코인 찾기' 자료로 위장한 악성코드 주의2022.05.18
- "잘 막으려면 해커처럼 생각하라"2022.05.02
- 英 경찰, 해커그룹 랩서스 연루 의심 7명 체포2022.03.25
심비오트는 강한 은폐 기능을 가지고 있다는 점이 특징이다. 심비오트는 프로세스에 다른 공유 객체보다 먼저 로드돼 자신의 존재를 숨기는 작업을 수행한다. 또 관련된 다른 파일도 숨기고 해당 네트워크 항목도 지속적으로 삭제한다. 더불어 감염된 시스템에서 악성 트래픽을 숨겨 패킷 캡처 도구를 써도 의심스러운 행위를 찾을 수 없게 한다.
연구원들은 이런 특징으로 심비오트의 탐지가 "거의 불가능하다"고 평가했다. "지난해 11월 라틴아메리카 금융 기관은 첫 번째 감염 피해 사례로 확인됐는데, 탐지가 어려운 특성 때문에 심비오트가 이 금융 기관을 표적해 만들어진 것인지, 아니면 광범위한 공격에 사용되고 있는 것인지 확신할 수 없다"게 연구팀의 설명이다.
