Plague Backdoor

사이버 보안 전문가들이 이전에 알려지지 않았지만 고도로 탐지 가능한 리눅스 악성코드인 '플레이그(Plague)'를 발견했습니다. 약 1년 동안 탐지되지 않고 활동했음에도 불구하고, 이 악성 백도어는 고도의 지속성과 은밀성을 보여주며 공격자들이 시스템에 은밀하게 침투하고 무단 접근을 유지할 수 있도록 합니다.

눈에 띄지 않는 곳에 숨겨진 PAM: 은밀한 접근을 위한 무기화

Plague는 Linux 및 UNIX 시스템에서 애플리케이션 및 서비스 인증을 처리하는 데 사용되는 핵심 구성 요소인 악성 플러그형 인증 모듈(PAM)로 위장합니다. Plague는 이 인증 인프라에 침투하여 다음과 같은 작업을 수행할 수 있습니다.

• 시스템 인증 메커니즘을 자동으로 우회
• 사용자 자격 증명 캡처
• 감지되지 않고 지속적인 SSH 액세스 설정

PAM 모듈은 권한이 있는 프로세스에 로드되므로 Plague와 같은 악성 구현은 상승된 권한으로 작동할 수 있으며, 기존의 탐지 및 모니터링 도구를 회피하는 경우가 많습니다.

보이지 않고 진화하는: 보안 엔진에 감지되지 않음

연구원들은 여러 가지 Plague 샘플을 발견했지만, 안티멀웨어 스캐너에서 악성으로 표시된 것은 없었습니다. 여러 개의 고유한 아티팩트가 발견된 것은 Plague가 장기적인 공격 전략의 일부임을 시사하며, 공격 주체들이 지속적으로 개발 및 개선하고 있음을 시사합니다.

전염병의 무기고: 은밀한 접근과 반법의학

Plague는 탐지되지 않고 작동할 수 있는 능력과 회피성에 기여하는 일련의 고급 기능을 갖추고 있습니다.

• 비밀스럽고 반복적인 액세스를 가능하게 하는 정적 자격 증명
• 역엔지니어링을 방해하는 안티디버깅 메커니즘과 문자열 난독화

흔적을 감추기 위한 환경적 조작에는 다음이 포함됩니다.

• SSH 관련 환경 변수(SSH_CONNECTION, SSH_CLIENT) 설정 해제
• 실행된 명령의 로그를 제거하기 위해 쉘 기록(HISTFILE)을 /dev/null로 리디렉션합니다.

이러한 전술은 손상된 시스템에 공격자가 존재한다는 모든 법의학적 증거를 제거하기 위해 특별히 고안되었습니다.

침묵의 생존자: 핵심에 있는 끈기와 혼란

Plague는 인증 스택에 통합되어 시스템 업데이트에도 살아남고 은밀하게 작동할 수 있어 매우 강력한 위협으로 작용합니다. 다층적인 난독화 기법과 시스템 환경 변수 조작은 Plague의 가시성을 크게 저하시켜 기존 탐지 메커니즘으로는 해결하기 어려운 난독화 공격으로 이어집니다.

결론: 경계를 요구하는 위험한 위협

Plague의 발견은 Linux를 표적으로 삼는 악성코드가 점점 더 정교해지고 있음을 보여줍니다. 중요 시스템 구성 요소에 침투하고 영리한 안티포렌식 기법을 사용함으로써 Linux 인프라에 의존하는 조직에 심각한 위험을 초래합니다. 이러한 규모의 위협에 대응하려면 사전 예방적 모니터링, PAM 모듈에 대한 정기적인 감사, 그리고 행동 기반 이상 탐지가 필수적입니다.