중국어권 개발자들이 개발·관리하고 있는 것으로 추정
기술적 완성도 수준 매우 높아...지능적인 회피 기법 구사
[보안뉴스 김형근 기자] 클라우드 네이티브 리눅스 환경을 겨냥한 고도로 진화된 맬웨어 프레임워크인 ‘보이드링크’(VoidLink)가 새롭게 발견됐다. Zig, Go, C언어로 작성된 이 프레임워크는 방대한 문서와 활발한 개발 흔적으로 미뤄 상업적 목적으로 제작된 것으로 추정된다.
[출처: gettyimagesbank]
보안업체 체크포인트(Check Point)는 이 멀웨어가 쿠버네티스(Kubernetes)나 도커(Docker) 환경에서 실행 중인지 여부를 스스로 판단하고, 이에 따라 동작 방식을 조정한다고 분석했다. 인터페이스 언어 구성과 최적화 특성 등을 종합할 때 중국어권 개발자들에 의해 개발·관리되고 있는 것으로 보이며, 기술적 완성도 또한 매우 높은 수준이라는 평가다.
보이드링크는 침투 이후 AWS, GCP, 애저, 알리바바, 텐센트 등 주요 클라우드 제공업체의 메타데이터를 조회해 실핸 환경을 정밀하게 파악한다. 시스템 커널 버전, 프로세스, 네트워크 상태를 수집할 뿐만 아니라 설치된 보안 솔루션(EDR)에 따라 리스크 점수를 산출한다. 이 리스크 점수에 따라 포트 스캔 속도나 비컨 전송 간격을 자동으로 조절하는 등 지능적인 회피 기법을 구사한다.
또한 ‘보이드스트림’(VoidStream)이라는 맞춤형 암호화 계층을 사용해 통신 트래픽을 일반적인 API 활동처럼 위장한다. 기본 설정만으로도 35개의 플러그인을 포함하고 있으며, 이는 메모리에 직접 로드돼 흔적을 남기지 않는 방식으로 작동한다.
주요 기능으로는 시스템 정찰, 클라우드 권한 상승, SSH 키 및 API 토큰 탈취, 측면 이동 등이 있다. 추적을 피하기 위해 프로세스와 파일을 은닉하는 루트킷 모듈을 탑재했으며, 커널 버전에 따라 eBPF 기술까지 활용한다. 또한 실행 환경 내 디버거를 감지하거나 실행 중인 코드를 암호화하는 등 안티 분석 메커니즘도 매우 정교하다.
분석이나 변조가 감지되면 맬웨어 스스로를 자가 삭제하고, 로그와 쉘 히스토리를 깨끗이 지운다. 호스트에 생성된 모든 파일은 보안 삭제 방식으로 처리돼 포렌식 조사를 원천적으로 방해한다.
체크포인트 연구원들은 보이드링크가 전형적인 리눅스 맬웨어보다 훨씬 앞선 기술력을 가졌다고 평가했다. 모듈식 아키텍처와 방대한 기능은 이 프레임워크가 현대적인 클라우드 인프라를 장기적으로 장악하기 위한 목적으로 설계됐음을 시사한다. 현재까지 활발한 감염 사례는 확인되지 않았으나, 특정 고객을 위한 맞춤형 제작물 또는 판매용 제품일 가능성이 제기되고 있다.
이번 발견은 클라우드 보안 환경에서 자동화된 회피 기술이 얼마나 결정적인 위협이 될 수 있는지 보여주는 사례다.
[김형근 기자(editor@boannews.com)]
기술적 완성도 수준 매우 높아...지능적인 회피 기법 구사
[보안뉴스 김형근 기자] 클라우드 네이티브 리눅스 환경을 겨냥한 고도로 진화된 맬웨어 프레임워크인 ‘보이드링크’(VoidLink)가 새롭게 발견됐다. Zig, Go, C언어로 작성된 이 프레임워크는 방대한 문서와 활발한 개발 흔적으로 미뤄 상업적 목적으로 제작된 것으로 추정된다.
[출처: gettyimagesbank]
보안업체 체크포인트(Check Point)는 이 멀웨어가 쿠버네티스(Kubernetes)나 도커(Docker) 환경에서 실행 중인지 여부를 스스로 판단하고, 이에 따라 동작 방식을 조정한다고 분석했다. 인터페이스 언어 구성과 최적화 특성 등을 종합할 때 중국어권 개발자들에 의해 개발·관리되고 있는 것으로 보이며, 기술적 완성도 또한 매우 높은 수준이라는 평가다.
보이드링크는 침투 이후 AWS, GCP, 애저, 알리바바, 텐센트 등 주요 클라우드 제공업체의 메타데이터를 조회해 실핸 환경을 정밀하게 파악한다. 시스템 커널 버전, 프로세스, 네트워크 상태를 수집할 뿐만 아니라 설치된 보안 솔루션(EDR)에 따라 리스크 점수를 산출한다. 이 리스크 점수에 따라 포트 스캔 속도나 비컨 전송 간격을 자동으로 조절하는 등 지능적인 회피 기법을 구사한다.
또한 ‘보이드스트림’(VoidStream)이라는 맞춤형 암호화 계층을 사용해 통신 트래픽을 일반적인 API 활동처럼 위장한다. 기본 설정만으로도 35개의 플러그인을 포함하고 있으며, 이는 메모리에 직접 로드돼 흔적을 남기지 않는 방식으로 작동한다.
주요 기능으로는 시스템 정찰, 클라우드 권한 상승, SSH 키 및 API 토큰 탈취, 측면 이동 등이 있다. 추적을 피하기 위해 프로세스와 파일을 은닉하는 루트킷 모듈을 탑재했으며, 커널 버전에 따라 eBPF 기술까지 활용한다. 또한 실행 환경 내 디버거를 감지하거나 실행 중인 코드를 암호화하는 등 안티 분석 메커니즘도 매우 정교하다.
분석이나 변조가 감지되면 맬웨어 스스로를 자가 삭제하고, 로그와 쉘 히스토리를 깨끗이 지운다. 호스트에 생성된 모든 파일은 보안 삭제 방식으로 처리돼 포렌식 조사를 원천적으로 방해한다.
체크포인트 연구원들은 보이드링크가 전형적인 리눅스 맬웨어보다 훨씬 앞선 기술력을 가졌다고 평가했다. 모듈식 아키텍처와 방대한 기능은 이 프레임워크가 현대적인 클라우드 인프라를 장기적으로 장악하기 위한 목적으로 설계됐음을 시사한다. 현재까지 활발한 감염 사례는 확인되지 않았으나, 특정 고객을 위한 맞춤형 제작물 또는 판매용 제품일 가능성이 제기되고 있다.
이번 발견은 클라우드 보안 환경에서 자동화된 회피 기술이 얼마나 결정적인 위협이 될 수 있는지 보여주는 사례다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.jpg){kind=spacer}
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
