CWN(CHANGE WITH NEWS) - 신종 리눅스 악성 프레임워크, 루트킷 설치 유도

사이버 보안 매체 해커뉴스에 따르면, 리눅스 모듈 아키텍츠와 루트킷(rootkit) 설치 기능을 갖춘 리눅스 멀웨어 ‘스위스 아미 나이프(Swiss Army Knife)’가 새로 발견되었다.

과거, ‘라이트닝 프레임워크(Lightning Framework)’라는 이름으로도 알려진 스위스 아미 나이프는 는 각종 신기능으로 점철되어 있어 리눅스를 위협하는 가장 교묘한 프레임워크 중 하나이다.

사이버 보안 기업 인터제르(Intezer) 소속 연구원인 라이언 로빈슨(Ryan Robinson)은 “라이트닝 프레임워크는 피해 기기의 SSH 오픈, 다형상 커멘드 및 제어 구성 등 공격자와 소통할 수 있는 패시브 및 액티브 기능 모두 갖추었다”라고 설명했다.

라이트닝 프레임워크를 구성하는 핵심 요소는 다운로더(kbioset)와 코어(kkdmflush) 모듈로, 전자는 원격 서버로부터 다수의 플러그인을 가져오며 코어 모듈이 이를 불러낸다.

또한, 다운로더는 프레임워크의 메인 모듈이 지속성을 유지할 수 있도록 하는 역할도 한다. 이와 관련, 로빈슨 연구원은 “다운로더 모듈의 핵심 기능은 다른 요소를 불러와 코어 모듈을 실행하는 것이다”라고 언급하였다.

코어 모듈은 C2 서버(command-and-control server)와 소통하여 플러그인을 실행하기 위해 필요한 명령을 불러오며 기기에서 존재를 감추기 위한 여러 조치도 시행한다.

원격 서버에서 받아오는 명령은 멀에워를 통한 기기의 정보를 수집, 쉘 명령 실행, 원격 서버로 파일 업로드, 파일 내 임의 데이터 작성, 호스트로부터 파일 업데이트 및 제거 등을 수행한다. 시스템 부팅 시 초기화 스크립트를 실행하고, 다운로더를 자동 실행할 수도 있다.

로빈슨 연구원이 설명한 바와 같이 라이트닝 프레임워크는 리눅스를 공격 대상으로 한 프레임워크로는 이례적으로 규모가 큰 편이다.

한편, 라이트닝 프레임워크는 BPFDoor, Symbiote, Syslogk, OrBit에 이은 5번째 리눅스 멀웨어로 앞선 멀웨어가 발견된 지 불과 3개월 만에 등장하였으며, 라이트닝 프레임워크의 구체적인 피해 사례는 알려진 바 없다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]