[보안뉴스][긴급] 리눅스 서버 ‘비상’...탐지 불가능 악성코드 ‘플래그’ 기승

내용 요약

새로운 악성코드 'Plague'가 등장하여 리눅스 서버 보안에 심각한 위협을 가하고 있습니다. 이 악성코드는 기존 백신 66종 모두를 무력화시키는 탐지 회피 능력을 가지고 있으며, SSH 포트를 통해 시스템에 침투한 후 접속 흔적을 깨끗이 지우는 수법을 사용합니다. 이는 최근 SGI서울보증에서 발생했던 랜섬웨어 공격 방식과 유사점을 보이며, 전통적인 보안 시스템의 한계를 드러내고 있습니다.

핵심 포인트

• 신종 악성코드 'Plague' 등장: 리눅스 서버를 타겟으로 하며, 기존 66종의 백신으로 탐지 불가능한 고도화된 악성코드입니다.
• 탐지 회피 능력: 기존 보안 시스템, 특히 Antivirus의 탐지 기능을 우회하여 심각한 위협을 초래합니다.
• SSH 악용 및 흔적 제거: SSH 포트를 통해 서버에 침투하고, 공격 흔적을 완벽하게 지워 포렌식 분석을 어렵게 합니다.
• 랜섬웨어 공격과의 유사성: SGI서울보증의 랜섬웨어 공격 형태와 유사한 침투 및 은닉 방식을 사용합니다.
• 리눅스 서버 보안의 취약성: 리눅스 서버 환경에 대한 새로운 보안 위협이 대두되고 있음을 경고합니다.

기술 세부 내용

1️⃣ Plague (플래그) 악성코드

• 정의: 'Plague'는 본문에서 언급된 신종 악성코드로, 특히 리눅스 서버 환경을 주요 공격 대상으로 삼습니다.
• 특징:
  • 고도의 탐지 회피: 가장 주목할 만한 특징은 기존의 전통적인 Antivirus(백신) 제품 66종 모두가 이 악성코드를 탐지하는 데 실패했다는 점입니다. 이는 Plague가 서명 기반(Signature-based) 탐지를 우회하는 난독화(Obfuscation), 다형성(Polymorphism) 또는 제로데이(Zero-day) 취약점 등을 활용했을 가능성을 시사합니다.
  • 리눅스 서버 타겟팅: 안정성과 유연성으로 인해 광범위하게 사용되는 리눅스 서버를 노린다는 점에서, 기업의 핵심 인프라에 대한 잠재적 위협이 매우 높습니다.
• 위협: 전통적인 방어 체계로는 막기 어려운 새로운 유형의 위협으로, 리눅스 서버 운영 환경의 보안 강화를 위한 새로운 접근 방식이 필요함을 강조합니다.

2️⃣ Antivirus (백신) ️

• 정의: Antivirus는 컴퓨터 시스템에서 악성 소프트웨어(Malware)를 탐지, 예방 및 제거하는 데 사용되는 소프트웨어입니다. 일반적으로 알려진 악성코드의 서명(Signature) 데이터베이스를 기반으로 작동하거나, 의심스러운 행위를 휴리스틱(Heuristic) 방식으로 분석하여 위협을 식별합니다.
• 본문에서의 맥락: 본문에서는 66종의 Antivirus 제품이 'Plague' 악성코드를 탐지하는 데 실패했다고 명시합니다.
• 시사점:
  • 서명 기반 탐지의 한계: 이는 전통적인 Antivirus가 최신 또는 변형된 악성코드, 특히 서명 데이터베이스에 아직 추가되지 않은 새로운 위협(New Threats)에 대해 취약할 수 있음을 보여줍니다.
  • 행위 기반 분석의 필요성: 단순한 파일 시그니처 매칭을 넘어, 시스템 내에서의 비정상적인 행위나 패턴을 분석하는 Endpoint Detection and Response (EDR)과 같은 고급 보안 솔루션의 중요성이 부각됩니다.
  • 방어 전략의 재고: Antivirus만으로는 모든 위협을 막을 수 없으므로, 다중 방어 계층(Defense-in-Depth) 전략과 지속적인 위협 인텔리전스 업데이트가 필수적임을 시사합니다.

3️⃣ SSH (Secure Shell)

• 정의: SSH는 네트워크를 통해 원격 컴퓨터에 안전하게 접근하기 위한 암호화된 네트워크 프로토콜입니다. 주로 서버 관리, 파일 전송(SCP, SFTP), 원격 명령 실행 등에 사용되며, 데이터 암호화를 통해 통신 내용을 보호합니다. 기본적으로 TCP 22번 포트를 사용합니다.
• 본문에서의 악용: 'Plague' 악성코드는 SSH 포트를 통해 리눅스 서버에 침투합니다.
• 공격 시나리오(추정):
  • 무차별 대입 공격 (Brute-force Attack): 약한 패스워드를 가진 SSH 계정에 대해 가능한 모든 조합을 시도하여 침투.
  • 크리덴셜 스터핑 (Credential Stuffing): 다른 유출된 계정 정보를 사용하여 SSH 로그인 시도.
  • SSH 키 탈취: 서버나 관리자의 SSH Private Key를 탈취하여 직접 로그인.
  • SSH 취약점 악용: SSH 서비스 자체의 알려지지 않았거나 패치되지 않은 취약점을 통해 접근.
• 의미: SSH는 서버 관리에 필수적인 합법적인 도구이지만, 그만큼 공격자들이 자주 악용하는 경로가 됩니다. 외부에서 직접 접근 가능한 SSH 포트가 제대로 관리되지 않으면 서버 침투의 주요 통로가 될 수 있습니다.

4️⃣ Trace Deletion (접속 흔적 제거)

• 정의: Trace Deletion은 공격자가 시스템에 침투하여 작업을 수행한 후, 자신의 활동 기록(로그 파일, 명령어 히스토리, 파일 생성/수정 시간 등)을 삭제하거나 조작하여 침입 흔적을 지우는 행위를 말합니다.
• 목적:
  • 탐지 회피: 보안 시스템이나 관리자가 침입 사실을 알아차리지 못하게 하여 공격 시간을 벌거나, 지속적인 접근을 유지하기 위함입니다.
  • 포렌식 방해: 침입 경로, 공격 방식, 피해 범위 등을 파악하려는 디지털 포렌식 분석을 어렵게 만들어 공격의 흔적을 숨깁니다.
  • 추적 방지: 공격자의 신원이나 출처를 추적하는 것을 방해하여 법적 책임에서 벗어나고자 합니다.
• 본문에서의 중요성: 'Plague'가 SSH를 통해 접속한 후 "접속 흔적을 제거하는 수법"을 사용한다고 명시되어 있습니다. 이는 단순 침투를 넘어, 탐지를 피하고 장기적으로 시스템에 머물려는 고도의 은닉 전술을 구사함을 의미합니다.
• 기술적 방법(예시):
  • ~/.bash_history와 같은 쉘 히스토리 파일 삭제 또는 내용 지우기.
  • /var/log/auth.log, /var/log/syslog 등의 시스템 로그 파일 삭제 또는 특정 엔트리 조작.
  • wtmp, btmp, lastlog 등 로그인 기록 파일 조작.
  • 파일 생성/수정 시간(Timestamp) 조작.
  • 메모리 상에서만 동작하고 디스크에 흔적을 남기지 않는 파일리스(Fileless) 기술 사용.

5️⃣ Ransomware Attack (랜섬웨어 공격) - SGI서울보증 사례

• 정의: Ransomware는 피해자의 파일이나 시스템 접근을 암호화하거나 잠궈버린 후, 이를 해제하는 대가로 금전(주로 암호화폐)을 요구하는 악성 소프트웨어의 일종입니다.
• SGI서울보증 사례의 유사성: 본문에서는 'Plague'의 SSH를 통한 침투 및 흔적 제거 수법이 최근 SGI서울보증의 랜섬웨어 공격 형태와 유사하다고 언급합니다.
• 유사점의 의미:
  • 합법적 도구의 악용: 랜섬웨어 공격자들이 SSH와 같은 시스템 관리용 합법적 도구를 사용하여 초기 침투 또는 내부망 확산을 시도하는 경향이 증가하고 있음을 시사합니다.
  • 은밀한 침투 및 장기 체류: 전통적인 바이러스처럼 빠르게 감염되어 증상을 드러내기보다, 조용히 침투하여 시스템 내부에서 오랜 시간 활동하며 정보를 수집하거나 다른 시스템으로 확산하는 공격 방식이 일반화되고 있습니다.
  • "접속 흔적 제거"의 중요성: 랜섬웨어 공격에서도 공격자들은 자신의 흔적을 지워 포렌식 분석을 방해하고, 복구 과정에서 발생할 수 있는 역추적을 어렵게 만듭니다. 이는 공격의 은밀성과 지속성을 확보하는 핵심적인 단계입니다.
• 시사점: 'Plague'와 같은 새로운 위협이 단순히 파일 암호화에 그치지 않고, 다양한 형태의 사이버 공격(예: 데이터 유출, 시스템 파괴)으로 진화할 수 있음을 경고하며, 행동 기반 탐지 및 네트워크 가시성 확보의 중요성을 강조합니다.

 

출처: http://www.boannews.com/media/view.asp?idx=138511&kind=&sub_kind=