영국의 국가 사이버 보안 센터(NCSC)는 최근 중국의 위협 요인에 의해 공개된 공격의 일환으로 Sophos XG 방화벽 장치를 뒷문으로 사용하기 위해 만들어진 'Pigmy Goat'라는 리눅스 악성 코드에 대한 분석을 발표했습니다. 지난주 Sophos는 중국의 위협 요인에 의한 5년간의 공격을 자세히 설명한 '태평양 림'이라는 일련의 보고서를 발표했습니다. 이 공격에서 사용된 맞춤형 악성 코드 중 하나는 Sophos 제품 파일 명명 규칙을 밀접하게 모방한 루트킷입니다.
'Pigmy Goat' 악성 코드는 Sophos XG 방화벽과 같은 리눅스 기반 네트워킹 장치에 대한 뒷문 접근을 위협 요인에게 제공하는 x86-32 ELF 공유 객체('libsophos[.]so')입니다. 이 악성 코드는 SSH 데몬(sshd)의 기능에 후크를 걸고 들어오는 연결을 처리하는 accept 함수를 덮어쓰기 위해 LD_PRELOAD 환경 변수를 사용하여 페이로드를 로드합니다. Pigmy Goat는 각 패키지의 처음 23 바이트에서 '마법 바이트'라는 특정 시퀀스를 위한 SSH 트래픽을 모니터링합니다.
NCSC 보고서에는 '마법 바이트' 시퀀스와 가짜 SSH 핸드셰이크를 감지하는 파일 해시와 YARA 및 Snort 규칙이 포함되어 있어, 방어자들이 Pigmy Goat 활동을 조기에 잡아낼 수 있도록 도웁니다. 또한, /lib/libsophos[.]so, /tmp/[.]sshd[.]ipc, /tmp/[.]fgmon_cli[.]ipc, /var/run/sshd[.]pid, /var/run/goat[.]pid 등에 대한 수동 검사를 통해 감염을 밝혀낼 수 있습니다. ICMP 패킷의 암호화된 페이로드에 대한 모니터링 설정과 'ssdh' 프로세스의 환경에서 'LD_PRELOAD'의 사용을 확인하는 것이 좋습니다.
요약
- 영국의 국가 사이버 보안 센터(NCSC)는 중국의 위협 요인에 의한 공격의 일환으로 Sophos XG 방화벽 장치를 뒷문으로 사용하기 위해 만들어진 'Pigmy Goat'라는 리눅스 악성 코드에 대한 분석을 발표했다.
- 'Pigmy Goat' 악성 코드는 Sophos XG 방화벽과 같은 리눅스 기반 네트워킹 장치에 대한 뒷문 접근을 위협 요인에게 제공하는 x86-32 ELF 공유 객체('libsophos[.]so')이다.
- NCSC 보고서에는 '마법 바이트' 시퀀스와 가짜 SSH 핸드셰이크를 감지하는 파일 해시와 YARA 및 Snort 규칙이 포함되어 있어, 방어자들이 Pigmy Goat 활동을 조기에 잡아낼 수 있도록 돕는다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.