New Linux Malware ‘Auto-Color’ Grants Hackers Full Remote Access to Compromised Systems
- 공격 개요
- Palo Alto Networks Unit 42에 따르면 Auto-Color라는 새로운 리눅스 악성코드가 2024년 11월부터 12월 사이에 북미 및 아시아의 대학 및 정부 기관을 대상으로 공격을 수행
- Auto-Color는 감염된 시스템에 완전한 원격 접근 권한을 제공, 일반적인 보안 소프트웨어로 제거하기 어려움
- 악성코드 작동 방식
- Auto-Color는 설치 후 "libcext.so.2"라는 악성 라이브러리를 설치하고, "/var/log/cross/auto-color"로 이름을 변경
- "/etc/ld.preload" 파일을 수정하여 시스템에 지속성(Persistence)을 확보
- 루트 권한을 필요로 하며, 권한이 부족할 경우에도 가능한 한 많은 작업을 수행
- 탐지 회피 기법
- 일반적인 파일 이름(예: door, egg)을 사용하여 파일을 숨김
- C2(명령 및 제어) 서버 통신을 은폐하기 위해 독자적인 암호화 알고리즘 사용
- libc 함수 후킹을 통해 open() 시스템 호출을 가로채 "/proc/net/tcp" 파일을 수정, 네트워크 연결 정보를 숨김
- "/etc/ld.preload" 파일을 보호하여 악성코드 제거 시도 차단
- 이러한 기법은 이전 Symbiote 악성코드와 유사
- 악성코드 기능
- C2 서버와 통신하여 리버스 셸 생성
- 시스템 정보 수집, 파일 생성 및 수정, 프로그램 실행
- 시스템을 프록시 서버로 사용하여 원격 IP와 특정 대상 IP 간 통신 중계
- 킬 스위치(kill switch)를 사용하여 자기 자신을 제거할 수 있는 기능 포함
- 보안 권고
- 리눅스 시스템의 실행 권한 관리 강화
- /etc/ld.preload 파일에 대한 무단 수정 감지 및 차단
- 네트워크 연결 정보(/proc/net/tcp) 모니터링을 통해 비정상적인 C2 통신 탐지
- 사용자 권한 관리를 강화하여 루트 권한 남용 방지
- 서명되지 않은 라이브러리 로드 차단 및 행동 분석 시스템 도입을 통한 의심스러운 프로세스 감지
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2025년 새롭게 등장한 랜섬웨어 그룹과 데이터 유출 사이트(DLS) 증가 (0) | 2025.03.10 |
|---|---|
| macOS 대상 트로이 목마, 'Poseidon' 악성코드의 새로운 침투 기법 (0) | 2025.03.10 |
| Black Basta 랜섬웨어 그룹의 내부 채팅 기록 유출, 내부 갈등과 공격 기법 드러나 (0) | 2025.03.10 |
| 새로운 은닉 배치 스크립트, PowerShell 및 Visual Basic을 사용하여 XWorm 설치 (0) | 2025.03.10 |
| LockBit 랜섬웨어 그룹, FBI 국장에게 "기밀 정보" 유출 위협 (1) | 2025.03.10 |