2022년부터 탐지를 피해온 리눅스 악성 코드 'sedexp'가 발견되었습니다. 이 악성 코드는 아직 MITRE ATT&CK 프레임워크에 포함되지 않은 지속성 기술을 사용하여 감지를 피하고 있습니다. 이를 발견한 위험 관리 회사인 Stroz Friedberg에 따르면, 이 악성 코드는 운영자가 원격 접근을 위한 역방향 쉘을 생성하고 공격을 확장할 수 있게 해줍니다.
'sedexp'는 'udev'라는 리눅스 커널의 장치 관리 시스템을 통해 지속성을 유지합니다. 'udev'는 사용자가 장치를 연결하거나 분리할 때 동적으로 노드 파일을 생성하거나 제거하며, 적절한 드라이버를 로드하는 역할을 합니다. 'sedexp'는 이러한 'udev' 규칙을 추가하여 시스템에 새로운 장치가 추가될 때마다 악성 코드가 실행되도록 합니다. 이 규칙은 '/dev/random'이라는 시스템 부트 시 로드되고 여러 앱과 시스템 프로세스에서 무작위 수 생성기로 사용되는 것과 일치하는지 확인합니다.
악성 코드 'sedexp'는 자신의 프로세스 이름을 'kdevtmpfs'라고 지정하여 합법적인 시스템 프로세스를 모방하고, 일반적인 활동과 섞여 더욱 감지하기 어렵게 만듭니다. 이 악성 코드는 원격으로 감염된 장치에 접근할 수 있도록 역방향 쉘을 설정하고, "sedexp"라는 문자열이 포함된 파일을 숨기는 메모리 조작 기법을 사용합니다. 또한, 악성 코드를 주입하거나 기존 앱과 시스템 프로세스의 동작을 변경하기 위해 메모리 내용을 수정할 수 있습니다.
요약
- 2022년부터 감지를 피해온 리눅스 악성 코드 'sedexp'가 발견되었다.
- 'sedexp'는 'udev'라는 리눅스 커널의 장치 관리 시스템을 통해 지속성을 유지한다.
- 이 악성 코드는 원격으로 감염된 장치에 접근할 수 있도록 역방향 쉘을 설정하고, 메모리 조작 기법을 사용한다.
- 'sedexp'는 자신의 프로세스 이름을 'kdevtmpfs'라고 지정하여 합법적인 시스템 프로세스를 모방한다.
- 이 악성 코드는 웹 서버에 신용카드 스크래핑 코드를 숨기는 데 사용되었다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.