[2019.01.21] 클라우드 보안 제품 제거 기능이 추가된 변종 Xbash Linux 멀웨어 등장

요약

*Xbash Linux malware : 2018년 최초 등장했으며 다양한 기능을  가짐(랜섬웨어, 가상화폐 마이닝, 자가 전파, DB 삭제, 감염 서버 봇화)  

- Palo Alto Network 보안연구진은 5 종류의 클라우드 보안 제품을 제거하고 감염된 리눅스 서버의 제품을 모니터링 할 수 있는 코드가 추가된 Xbash 리눅스 멀웨어 샘플을 발표

(멀웨어는 호스트의 전체 관리 권한을 획득하여 실제 관리자만이 할 수 있는 보안 프로그램 제거 가능)

- 공격 방법 : 

C&C 서버 생성 -> 쉘 스크립트 다운로드 -> 다른 가상화폐 채굴 프로세서 제거 및 가상화폐채굴 멀웨어 블락 -> 클라우드 보안 제품 제거 -> 코인 마이너에 숨겨진 UPX(Ultimate Packers for eXecutables) 실행 -> 리눅스 ps 명령어에서 멀웨어 프로세서 숨김 -> 멀웨어 파일 날짜와 시간 조정

*UPX : 오픈소스 실행파일 압축프로그램

- 영향받는 제품 : Tencent Cloud와 Alibaba Cloud 개발 보안 제품이 현재 해당 멀웨어 공격으로 제거 가능한 것으로 확인 됨

- Rocke : Xbash멀웨어 사용 그룹으로 Iron 사이버 범죄 조직과 관련 있음(*Iron은 Iron ransomeware 제작 그룹). 감염된 리눅스 서버로 모네로 가상화폐 채굴이 주 공격으로 알려져 있으며 Apache Struts 2, Oracle WebLogic, Adobe ColdFusion의 취약점이 주 목표 대상으로 함. 

- 영향성 : Palo에 따르면, Xbash멀웨어는 특정 클라우드 보안 제품을 목표로 하고 제거할 수 있는 기능을 가진 최초의 멀웨어 임. 

  클라우드 서비스 제공사들은 멀웨어 공격을 막기 위해 자체 클라우드 워크로드 보안 플랫폼(Cloud Workload Protection   Plaforms.,CWPPs)을 개발하였으나 Xbash 탐지에 효과 없는 것을 나타남 

- 변종 Xbash 분석 : https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/

탐지룰 존재유무

기존 Xbash 멀웨어 탐지룰 : 

- Ransom.Linux.XBASH.A

- Ransom.Linux.XBASH.AB

- Ransom.Linux.XBASH.AC

- Ransom.Linux.XBASH.AD

- Ransom.Linux.XBASH.AE

- Ransom.Linux.XBASH.AF

- Trojan.JS.POWLOAD.AA 

- Trojan.VBS.POWLOAD.AB

- Trojan.Win32.INFOSTEAL.TIDAOCN

- Coinminer.Win32.MALXMR.AX

- Coinminer_TOOLXMR.SMB-WIN64

- Coinminer.Unix.MALXMR.AA

영향성

퍼블릭 클라우드 기반시설을 목표로 하는 멀웨어를 막기에는 에이전트기반 클라우드 보안 솔루션은 한계를 보임

참고자료

Palo Alto Network 보고서 원문 : https://unit42.paloaltonetworks.com/malware-used-by-rocke-group-evolves-to-evade-detection-by-cloud-security-products/

출처 : https://www.securityweek.com/xbash-malware-uninstalls-cloud-security-products