Auto-Color Linux Backdoor: TTPs and Internal Architecture Exposed
Auto-Color Linux Backdoor: TTPs and Internal Architecture Exposed
Linux backdoor named "Auto-Color," first observed between November and December 2024, has been targeting government organizations.
gbhackers.com
- 주요 침해 배경
- Auto-Color는 2024년 11월~12월 사이에 처음 관찰된 리눅스 기반 백도어 악성코드
- 북미 및 아시아 지역의 정부 기관 및 대학을 표적으로 활동
- 무해한 컬러 향상 도구로 위장하여 배포되며, 지속성과 은닉성에 특화된 TTP를 사용
- 주요 은폐 기법
- 런타임 API 해석: 실행 시 API 주소를 동적으로 로딩하여 정적 탐지를 회피
- 문자열 암호화: XOR 연산을 통해 문자열을 암호화하여 기능 분석을 어렵게 만듦
- 루트 권한 확인 후 기능 활성화: 고급 기능 실행 전 루트 권한을 확인하는 조건부 실행 구조
- 설치 및 감염 후 동작
- 설치 디렉터리 생성:
/var/log/cross경로에 자신을 복제,auto-color이름으로 저장- 해당 경로는 일반적인 시스템 로그 디렉터리와 유사하여 위장 효과
- 권한은 777로 설정하여 읽기, 쓰기, 실행 모두 허용
- 공유 라이브러리 주입:
libcext.so.2라는 이름의 공유 객체를 시스템 라이브러리 경로에 주입- 정상 시스템 라이브러리로 위장하며 파일 시스템 및 네트워크 호출 후킹 기능 수행
- 설치 디렉터리 생성:
- 내부 아키텍처 및 지속성 메커니즘
- 지속성 확보:
cron,auditd,acpid등 시스템 데몬에 포크 방식으로 삽입되어 자동 실행 - 네트워크 은폐:
/proc/net/tcp파일 접근 후킹을 통해 자신의 C2 통신 내용을 필터링 - C2 통신 방식
- 암호화된 TCP 소켓 사용
- 난수 기반 핸드셰이크 방식으로 C2 서버 인증 수행
- 명령 수신 후 해당 명령을 시스템에서 실행
- 지속성 확보:
- 명령 기능 및 공격자 활용 수단
- 시스템 정보 수집: IP, 메모리, OS 버전 등 시스템 환경 정보 수집 후 전송
- 파일 시스템 제어: 파일 생성, 삭제, 읽기, 쓰기, 이름 변경 등 다양한 조작 명령 수행
- 리버스 쉘: 공격자가 실시간으로 시스템을 조작할 수 있는 쉘 생성
- 프록시 기능: 감염된 시스템을 거점 삼아 다른 내부 시스템으로 연결 우회 가능
- 결론
- Auto-Color는 고급 후킹 기법, 시스템 데몬 통합, C2 통신 은폐 등을 활용하여 탐지 회피 및 장기 침투를 목표로 설계됨
- 디렉터리 및 파일 무결성 점검, 비인가된 공유 객체 탐지, /proc/net/tcp 조작 감시 등 통합적인 보안 모니터링 강화 필요
- 루트 권한 확인 후 실행되는 악성코드에 대한 제어 체계 강화 및 시스템 호출 계층 감시 도입 필요
- 보안 솔루션에 대한 IOC 및 TTP 업데이트, 공격 징후에 대한 위협 사냥(Threat Hunting) 실시 권고
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2025년 최고 XDR(확장 탐지 및 대응) 솔루션 TOP 10 정리 (0) | 2025.05.24 |
|---|---|
| VPS 호스팅을 악용한 Grandoreiro 트로이목마 유포 사례 (1) | 2025.05.24 |
| 윈도우 스크린세이버 파일(.scr)을 악용한 악성코드 유포 캠페인 (0) | 2025.05.24 |
| GitHub에 공개된 Sakura RAT, 안티바이러스 및 EDR 우회 기능으로 보안 위협 고조 (0) | 2025.05.24 |
| AI 중심 멀티클라우드 운영 실패 원인과 대응 전략 (1) | 2025.05.24 |