최근 Check Point의 보안 연구진은 클라우드 환경을 겨냥한 고도화된 리눅스 악성코드 프레임워크인 VoidLink를 발견하였습니다. VoidLink는 Zig, Go, C 언어로 작성되었으며, 커스텀 로더, 임플란트, 루트킷, 플러그인 등 다양한 모듈을 제공하여 공격자가 클라우드 및 컨테이너 환경에 맞춰 동작을 조정할 수 있도록 설계되었습니다. 현재까지 실제 감염 사례는 확인되지 않았으나, 상업적 목적의 제품 또는 특정 고객을 위한 프레임워크로 개발된 것으로 추정됩니다.
VoidLink는 감염된 시스템이 Kubernetes나 Docker 환경인지 식별하고, AWS, GCP, Azure, Alibaba, Tencent 등 주요 클라우드 서비스의 메타데이터를 조회합니다. 또한, 시스템 정보, 커널 버전, 하이퍼바이저, 프로세스, 네트워크 상태, 보안 솔루션 및 하드닝 여부를 수집하여 위험 점수를 산출하고, 이를 바탕으로 모듈의 동작 방식을 자동으로 조정합니다. 통신은 HTTP, WebSocket, DNS 터널링, ICMP 등 다양한 프로토콜을 사용하며, 자체 암호화 계층인 VoidStream을 통해 정상 트래픽으로 위장합니다.
이 프레임워크는 35개의 플러그인을 기본 제공하며, 정보 수집, 클라우드 및 컨테이너 환경 탐지, 자격 증명 탈취, 횡적 이동, 지속성 확보, 포렌식 회피 등 다양한 기능을 수행합니다. 루트킷 모듈을 통해 프로세스, 파일, 네트워크 소켓 등을 은폐하고, 디버거 탐지, 런타임 코드 암호화, 무결성 검사 등 고급 분석 회피 기법을 적용합니다. 변조가 감지되면 임플란트는 자가 삭제되며, 로그 및 기록을 지워 포렌식 분석을 어렵게 만듭니다.
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.