|  입력 : 2020-05-06 14:42

#정보보호 #정보보안 #IT보안 #사이버보안

중국에서 나타난 카이지, 백지에서부터 개발돼 현재까지도 업그레이드 중
리눅스 기반 장비 노려...멀웨어 개발자들의 관심, 고 언어로 점점 쏠리는가

[보안뉴스 문가용 기자] 고 프로그래밍 언어로 만들어진 새로운 봇넷 멀웨어가 발견됐다. 보안 업체 인테저(Intezer)에 따르면 이 봇넷은 리눅스를 기반으로 한 시스템들을 표적으로 삼는데, 이 때문에 많은 사물인터넷 장비들이 위험한 상황이라고 한다.


이 봇넷을 제일 처음 발견한 자는 멀웨어머스트다이(MalwareMustDie)라는 이름으로 활동하는 보안 전문가로, 카이지(Kaiji)라는 이름을 봇넷에 붙였다. 멀웨어머스트다이에 따르면 카이지는 중국에서 나타났으며, SSH 브루트포스 공격을 통해서만 전파되고, 루트 사용자만을 노린다고 한다. 봇넷의 존재 이유는 디도스 공격으로, 루트 접근을 통해 독자적인 네트워크 패킷을 생성하는 방식으로 디도스를 진행한다고 한다.

카이지 봇넷 멀웨어가 시스템에 올라타 실행이 시작되면, 제일 먼저 /tmp/seeintlog이라는 디렉토리에 스스로를 복제한다. 그런 후 두 번째 인스턴스를 실행시키는데, 여기서부터 정식 악성 행위가 시작된다. 이 각각의 행위는 고유한 고루틴(goroutine) 내에서 실행되는데, 인테저에 의하면 이러한 고유 고루틴이 현재까지 총 13개 발견됐다고 한다.

이 13개 고루틴이 하는 일은 1) C&C 서버와 연결, 2) C&C 서버로부터 추가 명령 가져오기(디도스, SSH 브루트포스 명령, 셸 명령, 자가 삭제 등), 3) 다른 호스트로 연결, 4) 공격 지속성 확보 위한 장치 마련, 5) CPU 사용량 확인, 6) 루트킷을 /etc/32679로 복사 후 30초에 한 번씩 실행시키기 등을 포함한다고 한다.

여기서 6)번에 등장하는 루트킷은 실행을 지나치게 자주하는 경향이 있고, 이 때문에 감염시킨 기계의 메모리를 빠르게 소모시킨다고 한다. 이는 공격자가 미처 예상 못한 부분인 것으로 보이며, C&C 서버가 작동한 기간도 매우 짧은 것으로 보아 아직 카이지는 개발 단계에 있을 확률이 매우 높다고 인테저는 결론을 내렸다.

디도스 공격에 대한 표적 설정과 방법 결정은 C&C로부터 전달된다. 즉, 카이지가 자동으로 디도스 공격을 실시하는 게 아니라 C&C의 명령을 기다렸다가 실행하는 것이다. 카이지는 여러 가지 유형의 디도스 공격을 실시할 수 있는데, 이를 열거하면 다음과 같다.
1) TCP플러드(TCPFlood)
2) UDP플러드(UDPFlood)
3) IP스푸프(IPSpoof)
4) SYN, SYNACK, ACK

“요즘은 백지에서부터 개발된 봇넷을 발견한다는 게 매우 드문 일입니다. 그럴 필요가 전혀 없거든요. 돈만 주면 각종 봇넷을 만들 수도 있고 심지어 개발도 가능합니다. 사용할 수 있는 오픈소스도 많고요. 하지만 이번에 발견된 카이지는 독특하게도 백지에서부터 만들어진 봇넷입니다. 아직 개발 초기 단계에 있어 보입니다.” 인테저 측의 설명이다.

그러면서 인테저는 “최근 멀웨어 개발자들이 고 언어에 관심을 보이기 시작했다는 연구 보고서가 최근 발간된 바 있는데, 카이지는 그러한 현상이 진짜 나타나고 있음을 드러내는 사례이기도 하다”고 덧붙였다.

보다 상세한 기술 정보는 여기(https://intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang/)에서 열람이 가능하다.

3줄 요약
1. 카이지라는 새로운 리눅스용 봇넷 멀웨어 발견됨. 중국발.
2. 리눅스를 노리기 때문에 사물인터넷이 주요 표적인 것으로 보임.
3. 카이지의 가장 큰 목적은 디도스 공격. 백지에서 개발된 독특한 멀웨어.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  한국인터넷진흥원, 3년 연속 경영평가 C등급...

• 2

  [정보보호 리더스 클럽] 파이오링크 조영철 ...

• 3

  화웨이가 밝힌 ‘지능형 세상’ 위한 청사진....

• 4

  일반 마스크와 가정용 미용기기의 제품 안전관...

• 5

  현대오토에버-써로마인드, AI 플랫폼 개발 ...

• 1

  최신 영화 ‘결백’ 토렌트로 다운 받으려다....

• 2

  BLM 운동에 침묵하는 보안 업계, 스스로의...

• 3

  [CSRC@KAIST 차세대보안R&D리포트]...

• 4

  코로나19로 급증한 원격·재택근무, 보안관리...

• 5

  [정보보호 리더스 클럽] 파이오링크 조영철 ...

• 1

  한드림넷, 우수기술기업 인증 T-3 등급 획...

• 2

  [긴급] ‘공직자통합메일(korea.kr)’...

• 3

  정부 3차 추경 확정, 정보보호 분야 디지털...

• 4

  [카드뉴스] 전구로 엿듣는 새로운 도청기법 ...

• 5

  보안 인증시장 확 바뀐다! 차세대 인증서 선...