728x90
반응형
내용 요약
프랙 매거진에 실린 ‘APT‑Down Revisited: The North Korea Files’는 중국·북한 연계 해킹 집단이 만든 스텔스형 Linux rootkit의 정교한 은폐 기법을 전면 공개했습니다.
루트킷은 합법 프로세스 위장, 메모리‑기반 조작, 커널‑레벨 흔적 제거 등 다중 레이어의 방어 회피 방식을 조합해 장기간 침투를 가능하게 했습니다.
핵심 포인트
- Stealth Rootkit: 프로세스 위장 및 커널 모듈 삽입으로 보안 모니터링을 회피.
- Memory‑Based Manipulation: 메모리 덤프를 변조해 탐지 도구가 인식하지 못하도록 설계.
- Kernel‑Level Trace Removal: 커널 내부에서 로그, syscall 기록을 삭제해 활동 흔적을 완전히 없앰.
기술 세부 내용
1️⃣ Stealth Linux Rootkit
- Process Spoofing: 정상적인
sshd,systemd와 동일한 이름/경로로 실행,ps,top등 프로세스 리스트에 흔적을 남기지 않음. - Dynamic Linker Hijack:
LD_PRELOAD와 같은 기법을 사용해 시스템 라이브러리 동작을 교정, 탐지 스크립트가 호출되지 않도록 함. - Boot‑time Self‑Healing: 부팅 시
/etc/rc.local대신 자체 커널 모듈을 로드해 재설치나 재부팅 시 복구를 방지.
2️⃣ Memory‑Based Manipulation & Kernel‑Level Trace Removal
- Live Memory Editing:
ptrace,kexec등을 활용해 실행 중인 프로세스 메모리를 실시간 변조, 공격 패턴을 동적으로 숨김. - Page Cache Poisoning: 파일 시스템 캐시에 악성 코드 삽입 후
unshare,mmap으로 실행, 디스크 로그에는 남지 않음. - Syscall Interception:
seccomp,ptrace를 조합해execve,open호출을 가로채고 로그를 삭제,dmesg,journalctl에 기록되지 않도록 함. - Kernel Hook Removal:
ftrace,kprobe를 통해 설정된 훅을 찾아 삭제하거나 무시, 커널 오버라이드 시 흔적을 사라지게 함.
이 보고서는 APT‑Down 조직이 실제 운영 환경에서 어떻게 다층 방어 회피를 실현했는지 구체적인 기법까지 제공해, 보안 전문가가 같은 패턴을 탐지하고 대응책을 마련하는 데 핵심 자료가 됩니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=201006
728x90
반응형
SMALL
'보안이슈' 카테고리의 다른 글
| [주간이슈]국정자원 화재가 가르쳐준 APEC 2025 대비, 루트킷, 그리고 AI 거버넌스 세 가지 핵심 이야기 (0) | 2025.09.30 |
|---|---|
| [KRCERT]美 CISA 발표 주요 Exploit 정보공유(Update. 2025-09-29) (0) | 2025.09.30 |
| [데일리시큐]중앙·남아시아 통신·제조업 노린 변종 악성코드 공격…중국 연계 해킹그룹 정황 드러나 (0) | 2025.09.29 |
| [데일리시큐]중국 해킹그룹, 지원 종료된 방화벽 제로데이 공격…국가 기관 타깃 공격 정황 (0) | 2025.09.29 |
| [데일리시큐]가짜 해체쇼한 랩서스-샤이니헌터 등 3개 해커 연합…“다시 온다”…한국 기업도 위험권에 (0) | 2025.09.29 |