AhnLab EDR을 활용한 리눅스 대상 방어 회피(Defense Evasion) 기법 탐지 (2)

이전 블로그 “AhnLab EDR을 활용한 리눅스 대상 방어 회피(Defense Evasion) 기법 탐지 (1)” [1] 에서는 공격자 및 악성코드가 리눅스 서버를 공격한 이후 방화벽이나 보안 모듈과 같은 보안 서비스를 무력화하고 설치한 악성코드들을 은폐하는 방식들을 다루었다.

여기에서는 이전 블로그에서 다루지 않은 리눅스 대상 방어 회피(Defense Evasion) 기법들을 추가적으로 다룬다. 예를 들어 악성코드를 은폐하는 방식들 중에는 실행 중인 악성코드가 자신을 삭제하여 관리자의 눈에 띄지 않도록 하거나 최초 침투 이후 악성코드가 설치될 때까지의 과정이 기록된 여러 로그 파일들을 삭제하는 경우가 있다. 이러한 행위는 공격자가 수행하기도 하지만 자동화된 스크립트를 함께 사용하는 악성코드도 존재한다. 참고로 공격자는 악성코드를 실행하는 것이 목적이기 때문에 악성코드를 실행시키기 전 권한을 부여할 때 필요한 권한이 아닌 모든 권한을 부여하기도 한다.

AhnLab EDR (Endpoint Detection and Reponse)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.

여기에서는 리눅스 시스템을 대상으로 하는 공격자 및 악성코드가 사용하는 방어 회피 전략을 분류하고 AhnLab EDR을 활용해 이러한 공격을 탐지하는 방식을 정리한다.

1. 자가 삭제

리눅스는 윈도우와 달리 실행 중인 프로세스의 파일을 삭제하는 것이 가능하다. 이에 따라 많은 수의 리눅스 대상 악성코드들이 실행 이후 자신을 삭제하여 메모리 상에서 동작하면서 동시에 파일 진단을 우회하는 경향이 있다. 예를 들어 과거 Gh0st RAT의 리눅스 변종으로 알려진 Nood RAT이나 [2] 국내 및 태국 대상 APT 공격에 사용된 BlueShell 악성코드들도 [3] [4] 모두 자신을 삭제하여 메모리 상에서만 동작하였다. 물론 이외에도 Mirai, RotaJakiro [5] 등 다양한 악성코드들이 자가 삭제 기법을 사용한다.

AhnLab EDR은 실행 중인 악성코드가 자신을 행위를 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

2. 로그 삭제

리눅스에서는 시스템에서 발생한 주요한 이벤트들에 대한 로그가 “/var/log/syslog” 파일에 저장된다. Syslog에는 커널이나 데모, 스케줄링과 같은 정보들이 포함되며 이에 따라 공격자나 악성코드가 자신이 수행한 명령들이나 행위를 은폐하기 위해 Syslog와 같은 로그 파일들을 삭제하는 경우가 존재한다.

예를 들어 부적절하게 관리되는 도커나 Redis 서버 그리고 취약점 공격을 통해 설치되는 코인 마이너 악성코드인 Kinsing은 다음과 같이 최초 침투 이후 먼저 Syslog를 삭제하는 스크립트를 사용한다. [6]

이외에도 사용자가 Bash와 같은 쉘에서 입력한 명령이 저장되는 “.bash_history” 파일 또한 공격자의 삭제 대상이 되기도 한다. 예를 들어 Team TNT 공격자가 사용하는 스크립트는 다음과 같이 악성코드가 실행한 명령들이 저장된 로그를 제거하기 위해 “.bash_history” 파일을 삭제하는 명령이 포함되어 있다. 참고로 Team TNT는 악성코드를 설치한 악성 도커 컨테이너 이미지를 공유 저장소에 업로드하는 방식으로 가상 화폐를 채굴하는 공격자이다.

AhnLab EDR은 Syslog나 배시 히스토리 파일을 삭제하는 악의적인 행위를 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

3. 의심스러운 권한 부여

RedXOR는 2021년에 공개된 백도어 악성코드로서 중국이 지원하는 것으로 의심되는 공격자가 이를 사용한 것으로 알려져 있다. [7] 백도어 유형인 RedXOR는 시스템의 기본적인 정보들을 수집하고 이후 C&C 서버로부터 명령을 전달받아 명령 실행, 파일 및 프로세스 작업, 프록시와 같은 기능을 수행할 수 있다.

즉 C&C 서버로부터 명령을 전달받은 후에야 실질적인 악성 행위를 수행할 수 있지만 설치 과정에서 의심스러운 권한을 부여하는 특징이 있다. 먼저 자신을 “/root/.po1kitd.thumb/.po1kitd-update-k” 경로에 복사하고 재부팅 이후에도 동작할 수 있도록 Init 서비스에 등록하는 데 이를 담당하는 “/etc/init.d/po1kitd-update” 스크립트에 777 권한을 부여하는 것이다. AhnLab EDR은 이러한 의심스러운 권한을 부여하는 행위를 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

4. 결론

공격자들은 공격 과정에서 수행한 명령이나 로그들을 삭제하거나 설치한 악성코드를 제거하여 메모리 상에서만 동작하도록 하는 등의 방어 회피 전략을 사용하고 있다. 이를 통해 관리자는 의심스러운 파일을 추적하거나 로그를 통해 공격자의 흔적을 찾는데 어려움이 있을 수 있다.

AhnLab EDR은 방어 회피 단계에서 사용되는 의심스러운 행위들을 위협 및 주요 행위로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다. 관리자는 이를 통해 원인 파악과 적절한 대응을 진행할 수 있으며 공격에 노출된 이후에도 공격 대상이 된 시스템에서 공격자의 증적 자료로서 침해 사고 조사에 필요한 데이터를 확인할 수 있다.

행위 진단
– DefenseEvasion/MDP.Remove.M11361
– DefenseEvasion/EDR.Delete.M11397
– SystemManipulation/EDR.Delete.M11458
– Execution/EDR.Chmod.M11395