Auto-Color 악성코드, Linux 시스템을 노려 원격 제어 권한 탈취

New Auto-Color Malware Attacking Linux Devices to Gain Full Remote Access

New Auto-Color Malware Attacking Linux Devices to Gain Full Remote Access

 

• 공격 개요
  • Palo Alto Networks가 Auto-Color라는 새로운 Linux 악성코드를 발견
  • 고급 회피 기술과 원격 액세스 제공 기능으로 주목받는 위협
  • 2024년 11월부터 12월 사이에 발견되었으며, 주로 북미 및 아시아 지역의 대학과 정부 기관을 타겟으로 함
• 주요 기능 및 동작 방식
  • 악성코드는 설치 시 door, egg 등의 무해한 파일 이름으로 위장
  • 시스템 파일을 가장한 악성 라이브러리 libcext.so.2를 사용하여 탐지를 회피
  • 루트 권한을 가진 시스템에서 /etc/ld.preload 파일을 수정하여 지속성을 유지
  • 시스템 라이브러리보다 먼저 악성 라이브러리를 로딩해 핵심 기능을 오버라이드
• 고급 은폐 및 암호화 기법
  • Auto-Color는 전용 암호화 알고리즘을 사용해 설정 데이터 및 C2 서버 통신을 숨김
  • 사용자 정의 스트림 암호(cipher)를 활용해 페이로드를 암호화, 기존 보안 도구의 탐지 우회
  • libc 함수 open()에 훅(Hook)을 걸어 /proc/net/tcp 파일을 조작, 네트워크 활동 은폐
  • Symbiote 악성코드의 기법과 유사하지만 더욱 발전된 형태의 구현을 보여줌
  • 실시간으로 네트워크 데이터를 분석하여 특정 IP 주소 및 포트를 제거, 활동을 감춤
• 공격자의 권한 및 활용 방법
  • 원격 접속을 통해 시스템과의 직접적인 상호작용 가능
  • 네트워크 프록시로 활용되어 추가 공격 진행 가능
  • 시스템 파일 조작 및 프로그램 실행
  • 글로벌 구성 데이터를 전송 및 수정 가능
  • C2 서버와의 통신은 사용자 정의 프로토콜을 사용, 모든 메시지는 동적으로 생성된 키로 암호화
• 감염 징후 (IoC, Indicators of Compromise)
  • log, edu, door 등의 이름을 가진 악성 실행 파일 존재
  • 동일한 파일 크기(229,160 바이트)지만 암호화된 페이로드로 인해 해시는 서로 다름
  • /etc/ld.preload 파일의 비정상적인 수정 흔적
  • 의심스러운 IP 주소와의 비정상적인 네트워크 활동
• 보안 권고
  • Palo Alto Networks는 Cortex XDR, Advanced WildFire와 같은 고급 보안 솔루션 사용 권장
  • 시스템 내 IoC를 감시하고 강력한 엔드포인트 보호 조치 시행 필요
  • 감염이 확인될 경우, Unit 42와 같은 사고 대응 팀과 협력해 격리 및 복구 작업을 수행
  • 조직 내 보안 운영 팀은 위협 탐지 및 대응 전략을 강화해 공격의 피해를 최소화해야 함
• 결론
  • Auto-Color는 점점 정교해지는 Linux 악성코드의 증가 추세를 보여줌
  • 특히 중요한 대학 및 정부 기관을 대상으로 하여 보안 운영의 사전 대응이 필수적
  • 지속적인 모니터링과 시스템 로그 분석을 통해 잠재적인 위협을 조기에 발견하고 차단해야 함
  • Linux 시스템 관리자는 루트 권한을 가진 프로세스의 비정상적인 동작을 철저히 점검해야 함