Home > 전체기사
또 다른 고 기반 멀웨어 카이지, 중국에서 나타난 IoT 봇넷
  |  입력 : 2020-05-06 14:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중국에서 나타난 카이지, 백지에서부터 개발돼 현재까지도 업그레이드 중
리눅스 기반 장비 노려...멀웨어 개발자들의 관심, 고 언어로 점점 쏠리는가


[보안뉴스 문가용 기자] 고 프로그래밍 언어로 만들어진 새로운 봇넷 멀웨어가 발견됐다. 보안 업체 인테저(Intezer)에 따르면 이 봇넷은 리눅스를 기반으로 한 시스템들을 표적으로 삼는데, 이 때문에 많은 사물인터넷 장비들이 위험한 상황이라고 한다.

[이미지 = iclickart]


이 봇넷을 제일 처음 발견한 자는 멀웨어머스트다이(MalwareMustDie)라는 이름으로 활동하는 보안 전문가로, 카이지(Kaiji)라는 이름을 봇넷에 붙였다. 멀웨어머스트다이에 따르면 카이지는 중국에서 나타났으며, SSH 브루트포스 공격을 통해서만 전파되고, 루트 사용자만을 노린다고 한다. 봇넷의 존재 이유는 디도스 공격으로, 루트 접근을 통해 독자적인 네트워크 패킷을 생성하는 방식으로 디도스를 진행한다고 한다.

카이지 봇넷 멀웨어가 시스템에 올라타 실행이 시작되면, 제일 먼저 /tmp/seeintlog이라는 디렉토리에 스스로를 복제한다. 그런 후 두 번째 인스턴스를 실행시키는데, 여기서부터 정식 악성 행위가 시작된다. 이 각각의 행위는 고유한 고루틴(goroutine) 내에서 실행되는데, 인테저에 의하면 이러한 고유 고루틴이 현재까지 총 13개 발견됐다고 한다.

이 13개 고루틴이 하는 일은 1) C&C 서버와 연결, 2) C&C 서버로부터 추가 명령 가져오기(디도스, SSH 브루트포스 명령, 셸 명령, 자가 삭제 등), 3) 다른 호스트로 연결, 4) 공격 지속성 확보 위한 장치 마련, 5) CPU 사용량 확인, 6) 루트킷을 /etc/32679로 복사 후 30초에 한 번씩 실행시키기 등을 포함한다고 한다.

여기서 6)번에 등장하는 루트킷은 실행을 지나치게 자주하는 경향이 있고, 이 때문에 감염시킨 기계의 메모리를 빠르게 소모시킨다고 한다. 이는 공격자가 미처 예상 못한 부분인 것으로 보이며, C&C 서버가 작동한 기간도 매우 짧은 것으로 보아 아직 카이지는 개발 단계에 있을 확률이 매우 높다고 인테저는 결론을 내렸다.

디도스 공격에 대한 표적 설정과 방법 결정은 C&C로부터 전달된다. 즉, 카이지가 자동으로 디도스 공격을 실시하는 게 아니라 C&C의 명령을 기다렸다가 실행하는 것이다. 카이지는 여러 가지 유형의 디도스 공격을 실시할 수 있는데, 이를 열거하면 다음과 같다.
1) TCP플러드(TCPFlood)
2) UDP플러드(UDPFlood)
3) IP스푸프(IPSpoof)
4) SYN, SYNACK, ACK

“요즘은 백지에서부터 개발된 봇넷을 발견한다는 게 매우 드문 일입니다. 그럴 필요가 전혀 없거든요. 돈만 주면 각종 봇넷을 만들 수도 있고 심지어 개발도 가능합니다. 사용할 수 있는 오픈소스도 많고요. 하지만 이번에 발견된 카이지는 독특하게도 백지에서부터 만들어진 봇넷입니다. 아직 개발 초기 단계에 있어 보입니다.” 인테저 측의 설명이다.

그러면서 인테저는 “최근 멀웨어 개발자들이 고 언어에 관심을 보이기 시작했다는 연구 보고서가 최근 발간된 바 있는데, 카이지는 그러한 현상이 진짜 나타나고 있음을 드러내는 사례이기도 하다”고 덧붙였다.

보다 상세한 기술 정보는 여기(https://intezer.com/blog/research/kaiji-new-chinese-linux-malware-turning-to-golang/)에서 열람이 가능하다.

3줄 요약
1. 카이지라는 새로운 리눅스용 봇넷 멀웨어 발견됨. 중국발.
2. 리눅스를 노리기 때문에 사물인터넷이 주요 표적인 것으로 보임.
3. 카이지의 가장 큰 목적은 디도스 공격. 백지에서 개발된 독특한 멀웨어.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)