디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽의 은폐 지원
Magic Packet을 트리거로 동작하는 방식으로 ‘Syslogk’과 유사성 보여
[보안뉴스 박은주 기자] ‘Reptile’은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드다. 리눅스 시스템 대상 커널 모듈 루트킷으로 깃허브에 오픈소스로 공개돼 있다. 주로 파일 및 프로세스, 네트워크 통신을 은폐 대상으로 삼는다. Reptile은 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽의 은폐를 지원한다.
[이미지=Gettyimagesbank]
안랩 ASEC 분석팀에 따르면 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. 일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 차이점을 보인다. Reptile이 지원하는 기능 중 가장 특징적인 것은 ‘Port Knocking’ 기법이다. 우선 감염 시스템에서 특정 포트를 오픈하고 대기한다. 이후 공격자가 해당 시스템에 ‘Magic Packet’을 보낼 때 전달받은 패킷을 기반으로 명령제어(C&C) 서버에 접속하는 방식이다.
과거 Avast의 보고서에서 언급된 Syslogk와 유사하다. 감염 시스템에서 대기하다가 Magic Packet을 트리거로 동작하는 방식, 공격에 함께 사용할 백도어 악성코드로서 Rekoobe 즉 커스터마이징된 TinySHell을 사용했다는 점이 유사하다.
오픈소스인 Reptile은 깃허브에서 공개된 이후 꾸준히 공격에 사용되고 있다. 일례로 최근 맨디언트(Mandiant)의 보고서에서도 특정 보안 제품의 제로데이 취약점을 이용해 공격 중인 중국 기반의 공격그룹이 공격에 Reptile을 함께 사용한 사례가 확인됐다. 이외에도 ‘Mélofée’ 악성코드를 분석한 ExaTrack의 보고서에서도 Reptile 루트킷을 확인할 수 있다. ExaTrack은 당시 공격을 중국을 기반으로 하는 Winnti 공격 그룹의 소행으로 보고 있다.
▲Reptile의 동작 구조[자료=안랩 ASEC 분석팀]
Reptile은 공격자 시스템과 피해 시스템으로 구분해 설명할 수 있다. 공격자 시스템에서 Reptile은 감염 시스템에 설치될 악성코드뿐만 아니라 공격자가 사용할 도구도 지원한다. Listener는 인자로 Listen할 포트 및 비밀번호를 받아 동작하는 커맨드 라인 도구로서 감염 시스템에서 실행될 리버스 쉘로부터의 연결을 대기한다. Reptile은 옵션에 따라 설치 이후 직접 지정한 주소로 리버스 쉘을 동작시킬 수 있다.
또한, 공격자의 C&C 서버를 따로 지정하지 않더라도 Port Knocking 방식을 이용해 감염 시스템에 특정한 패킷을 전달함으로써 리버스 쉘을 작동시킬 수 있다. 이때 Packet이 사용되는데, 리버스 쉘이 연결을 시도할 주소, Port Knocking 방식에서 사용할 프로토콜 등의 인자를 받아 동작하는 커맨드 라인 도구라고 할 수 있다. Listener와 Packet을 직접 사용할 수도 있지만 인터페이스를 제공하는 Client를 이용할 수도 있다.
▲설치 디렉터리[자료=안랩 ASEC 분석팀]
피해 시스템에서 Reptile 루트킷은 직접적으로 커널 모듈 형태의 파일로 존재하지 않고 Loader에 의해 복호화 과정을 거쳐 설치된다. Reptile 루트킷에 명령을 전달하는 기능을 담당하는 reptile_cmd는 인자로 은폐 대상을 지정하고 실행하는 방식으로 루트킷과 통신한다. 또한, Reptile 루트킷은 △파일 및 디렉터리 은폐 △자가 은폐 △프로세스 은폐 △TCP/UDP 은폐 △파일 내용 은닉을 할 수 있다.
Reptile은 깃허브에 공개된 오픈소스 악성코드로 과거부터 다양한 공격자에 의해 사용되고 있다. 맨디언트사에서 최근 공개한 중국 기반 공격 그룹의 특정 보안 제품 제로데이 공격 사례뿐만 아니라 바이러스토탈(VirusTotal) 플랫폼을 보면 Reptile 루트킷 악성코드가 주기적으로 업로드되고 있는 것을 확인할 수 있다.
실제 공격에서 사용됐는지 확실하게 알 수 없지만 최근 수년간 다수의 Reptile 루트킷이 VirusTotal에 업로드되고 있다. 안랩 ASEC 분석팀은 업로드된 Reptile들 중 일부를 대상으로 각각의 설정 데이터를 추출하여 분류했다. 커널 모듈의 vermagic을 보면 대부분 RHEL/CentOS 리눅스가 공격 또는 테스트 대상인 것이 특징이다.
▲국내 공격에 사용된 Reptile의 설정 데이터[자료=안랩 ASEC 분석팀]
국내 기업을 대상으로한 공격에서도 Reptile이 사용됐다. 초기 침투 방식은 확인되지 않지만, Reptile의 루트킷, 리버스 쉘, Cmd, 그리고 시작 스크립트가 모두 접수되어 기본적인 설정을 확인할 수 있었다는 게 안랩 ASEC 분석팀의 설명이다.
해당 공격 사례에서는 Reptile 외에도 ISH라고 하는 ICMP Shell이 공격에 함께 사용됐다. ISH는 ICMP 프로토콜을 이용해 공격자에 쉘을 제공할 수 있는 악성코드다. 일반적으로 리버스 쉘이나 바인드 쉘은 TCP나 HTTP 등의 프로토콜을 이용하지만, 공격자는 이러한 통신들에 대한 네트워크 탐지를 우회하기 위해 ISH를 사용한 것으로 추정된다.
Reptile은 파일/디렉터리 및 프로세스, 네트워크 통신에 대한 은폐 기능을 제공하는 리눅스 커널 모드 루트킷 악성코드이다. 오픈소스이기 때문에 다양한 공격자에 의해 쉽게 사용될 수 있으며 실제 다양한 공격 사례들이 확인된다. 루트킷의 특성상 다른 악성코드와 함께 사용되는 경우가 많지만, Reptile 자체적으로도 리버스 쉘을 함께 제공하기 때문에 Reptile이 설치된 시스템은 공격자로부터 제어를 탈취당하게 된다.
이와 같은 보안 위협을 방지하기 위해 안랩 ASEC 분석팀은 취약한 환경 설정에 대한 검사가 필요하다고 강조했다. 또한, 관련 시스템들을 항상 최신 버전으로 업데이트해 사이버 공격으로부터 보호해야 한다고 전했다.
[박은주 기자(boan5@boannews.com)]
Magic Packet을 트리거로 동작하는 방식으로 ‘Syslogk’과 유사성 보여
[보안뉴스 박은주 기자] ‘Reptile’은 자신이나 다른 악성코드를 은폐하는 기능을 갖는 악성코드다. 리눅스 시스템 대상 커널 모듈 루트킷으로 깃허브에 오픈소스로 공개돼 있다. 주로 파일 및 프로세스, 네트워크 통신을 은폐 대상으로 삼는다. Reptile은 커널 모듈 자신 외에도 파일 및 디렉터리, 파일의 내용, 프로세스, 네트워크 트래픽의 은폐를 지원한다.
[이미지=Gettyimagesbank]
안랩 ASEC 분석팀에 따르면 Reptile은 리버스 쉘을 함께 제공하여 공격자가 쉽게 시스템을 제어할 수 있도록 지원한다. 일반적으로 은폐 기능만을 제공하는 다른 루트킷 악성코드와 차이점을 보인다. Reptile이 지원하는 기능 중 가장 특징적인 것은 ‘Port Knocking’ 기법이다. 우선 감염 시스템에서 특정 포트를 오픈하고 대기한다. 이후 공격자가 해당 시스템에 ‘Magic Packet’을 보낼 때 전달받은 패킷을 기반으로 명령제어(C&C) 서버에 접속하는 방식이다.
과거 Avast의 보고서에서 언급된 Syslogk와 유사하다. 감염 시스템에서 대기하다가 Magic Packet을 트리거로 동작하는 방식, 공격에 함께 사용할 백도어 악성코드로서 Rekoobe 즉 커스터마이징된 TinySHell을 사용했다는 점이 유사하다.
오픈소스인 Reptile은 깃허브에서 공개된 이후 꾸준히 공격에 사용되고 있다. 일례로 최근 맨디언트(Mandiant)의 보고서에서도 특정 보안 제품의 제로데이 취약점을 이용해 공격 중인 중국 기반의 공격그룹이 공격에 Reptile을 함께 사용한 사례가 확인됐다. 이외에도 ‘Mélofée’ 악성코드를 분석한 ExaTrack의 보고서에서도 Reptile 루트킷을 확인할 수 있다. ExaTrack은 당시 공격을 중국을 기반으로 하는 Winnti 공격 그룹의 소행으로 보고 있다.
▲Reptile의 동작 구조[자료=안랩 ASEC 분석팀]
Reptile은 공격자 시스템과 피해 시스템으로 구분해 설명할 수 있다. 공격자 시스템에서 Reptile은 감염 시스템에 설치될 악성코드뿐만 아니라 공격자가 사용할 도구도 지원한다. Listener는 인자로 Listen할 포트 및 비밀번호를 받아 동작하는 커맨드 라인 도구로서 감염 시스템에서 실행될 리버스 쉘로부터의 연결을 대기한다. Reptile은 옵션에 따라 설치 이후 직접 지정한 주소로 리버스 쉘을 동작시킬 수 있다.
또한, 공격자의 C&C 서버를 따로 지정하지 않더라도 Port Knocking 방식을 이용해 감염 시스템에 특정한 패킷을 전달함으로써 리버스 쉘을 작동시킬 수 있다. 이때 Packet이 사용되는데, 리버스 쉘이 연결을 시도할 주소, Port Knocking 방식에서 사용할 프로토콜 등의 인자를 받아 동작하는 커맨드 라인 도구라고 할 수 있다. Listener와 Packet을 직접 사용할 수도 있지만 인터페이스를 제공하는 Client를 이용할 수도 있다.
▲설치 디렉터리[자료=안랩 ASEC 분석팀]
피해 시스템에서 Reptile 루트킷은 직접적으로 커널 모듈 형태의 파일로 존재하지 않고 Loader에 의해 복호화 과정을 거쳐 설치된다. Reptile 루트킷에 명령을 전달하는 기능을 담당하는 reptile_cmd는 인자로 은폐 대상을 지정하고 실행하는 방식으로 루트킷과 통신한다. 또한, Reptile 루트킷은 △파일 및 디렉터리 은폐 △자가 은폐 △프로세스 은폐 △TCP/UDP 은폐 △파일 내용 은닉을 할 수 있다.
Reptile은 깃허브에 공개된 오픈소스 악성코드로 과거부터 다양한 공격자에 의해 사용되고 있다. 맨디언트사에서 최근 공개한 중국 기반 공격 그룹의 특정 보안 제품 제로데이 공격 사례뿐만 아니라 바이러스토탈(VirusTotal) 플랫폼을 보면 Reptile 루트킷 악성코드가 주기적으로 업로드되고 있는 것을 확인할 수 있다.
실제 공격에서 사용됐는지 확실하게 알 수 없지만 최근 수년간 다수의 Reptile 루트킷이 VirusTotal에 업로드되고 있다. 안랩 ASEC 분석팀은 업로드된 Reptile들 중 일부를 대상으로 각각의 설정 데이터를 추출하여 분류했다. 커널 모듈의 vermagic을 보면 대부분 RHEL/CentOS 리눅스가 공격 또는 테스트 대상인 것이 특징이다.
▲국내 공격에 사용된 Reptile의 설정 데이터[자료=안랩 ASEC 분석팀]
국내 기업을 대상으로한 공격에서도 Reptile이 사용됐다. 초기 침투 방식은 확인되지 않지만, Reptile의 루트킷, 리버스 쉘, Cmd, 그리고 시작 스크립트가 모두 접수되어 기본적인 설정을 확인할 수 있었다는 게 안랩 ASEC 분석팀의 설명이다.
해당 공격 사례에서는 Reptile 외에도 ISH라고 하는 ICMP Shell이 공격에 함께 사용됐다. ISH는 ICMP 프로토콜을 이용해 공격자에 쉘을 제공할 수 있는 악성코드다. 일반적으로 리버스 쉘이나 바인드 쉘은 TCP나 HTTP 등의 프로토콜을 이용하지만, 공격자는 이러한 통신들에 대한 네트워크 탐지를 우회하기 위해 ISH를 사용한 것으로 추정된다.
Reptile은 파일/디렉터리 및 프로세스, 네트워크 통신에 대한 은폐 기능을 제공하는 리눅스 커널 모드 루트킷 악성코드이다. 오픈소스이기 때문에 다양한 공격자에 의해 쉽게 사용될 수 있으며 실제 다양한 공격 사례들이 확인된다. 루트킷의 특성상 다른 악성코드와 함께 사용되는 경우가 많지만, Reptile 자체적으로도 리버스 쉘을 함께 제공하기 때문에 Reptile이 설치된 시스템은 공격자로부터 제어를 탈취당하게 된다.
이와 같은 보안 위협을 방지하기 위해 안랩 ASEC 분석팀은 취약한 환경 설정에 대한 검사가 필요하다고 강조했다. 또한, 관련 시스템들을 항상 최신 버전으로 업데이트해 사이버 공격으로부터 보호해야 한다고 전했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
