본 게시물은 영어 공부 목적으로 번역 된 것 입니다.

 

 

 보안 연구자들은 모든 주요 안티 바이러스 보안 소프트웨어 제품을 가로질러 현재까지 완진히 탐지되고 있지 않은 희귀한 리눅스 스파이웨어를 발견했고, 대부분 리눅스 멀웨어에 관련하여 보기 드문 기능을 포함하고 있다.

 핵심 아키텍쳐와 시장 점유율이 낮기 때문에 전세계에서는 윈도우 바이러스에 비해 변종이나 리눅스 악성코드가 매우 적으며, 그 중 많은 수가 광범위한 기능조차 가지고 있지 않다는 것은 알려진 사실이다.

 

 최근 해에, 리눅스 OS와 소프트웨어에 다양한 종류에서 극심한 치명적인 취약점의 발견으로, 사이버 범죄자들은 그들의 공격을 대부분 이용하는데 실패했다.

 대신에, 거대한 양의 멀웨어 타겟인 리눅스 에코 시스템은 재정적인 이득을 위해 암호채굴 공격에 집중하고 있고, 취약한 하이재킹 서버를 통해 DDOS 봇냇을 만들고 있다.

 그러나, 보안 회사에 있는 연구자들은 개발 및 테스트 단계인 새로운 리눅스 백도어를 최근에 발견했는데, 이미 리눅스 데스크탑 유저에 정보를 캐내기 위해 치명적인 모듈을 포함하고 있었다.

 

 

 

Evil Gnome: 새로운 리눅스 스파이 웨어

 

 Evil Gnome 이라고 불리는 이 멀웨어는 스크린 샷, 파일 탈취, 유저의 마이크로 폰에 기록된 오디오 캡쳐 뿐만 아니라 더 나아가 두번째 멀웨어 모듈을 다운 및 실행하도록 설계되어있다.

 Intezer Labs에서 새로운 리포트를 따르면, virustotal에서 발견되 EvilGnome의 샘플은 키로거 기능이 제대로 끝나지 않았고, 그것의 개발자가 실수로 온라인에 업로드 한 것으로 추정된다.

 

 Evil Gnome 멀웨어는 합법적인 GNOME확장으로 가장한다. 이 프로그램은 그들의 데스크탑의 기능을 확장시켜준다. 연구자들에 따르면, 이식은 'makeself'로 만들어진 쉘 스크립트 형태로 전달되는데, 스스로 추출할 수 있게 생성되는 작은 쉘 스크립트는 디렉토리에서 tar 아카이브로 압축되었다.

 

 리눅스 이식은 또한 타겟 시스템에 윈도우에 일정 스케줄과 비슷한 crontab을 이용하여 영구적인 이득을 챙겼고, 탈취된 유저 정보를 공격자 원격 제어 서버에 보냈다.

"지속성은 crontab에 매분마다 gnome-shell-ext.sh를 실행하기 위해 등록함으로서 유지되었다. 마침내, 스크립트는 gnome-shell-ext.sh를 실행하고, 결국에는 메인 gnome-shell-ext를 실행한다." 라고 연구자들은 말했다.

 

 

 

Evil Gnome의 스파이 웨어 모듈

 

Evil Gnome의 스파이 에이전트는 아래 설명 처럼 "shooters"라고 불리는 악의적인 5가지 모듈을 포함하고 있다.

 

  • shooter Sound - 이 모듈은 유저의 마이크로 폰에서 오디오를 캡쳐하기 위해 Pulse Audio를 사용한다.
  • shooter Image - 이 모듈은 스크린 샷을 캡쳐하기 위해 오픈소스 라이브러리 Cairo를 사용하고 C&C 서버에 업로드 한다. Gnome 데스크탑 백엔드에 있는 Xorg Display Server에 연결을 열어 작업을 수행한다.
  • shooter File - 이 모듈은 새롭게 생성된 파일 시스템을 스캔하기 위해 필터리스트를 사용하고 C&C 서버에 업로드 한다.
  • shooter Ping - 이 모듈은 새로운 파일을 다운 및 실행을 위해 C&C 서버로 부터 새로운 명령을 받고, 파일 스캔을 위해 새로운 필터를 설정하고, 새로운 런타임 구성을 설정하고, 저장된 결과 값을 C&C 서버로 보내고, 동작중인 어떤 모든 shooter 모듈을 중지한다.
  • shooter key - 이 모둘은 시행되지도 사용되지도 않았다. 마치 완전하지 않은 키로거 모듈과 같다.

 

특히, 위의 모듈은 그것의 결과 데이터를 암호화하고 러시아 오픈 소스 라이브러리 수정 버전으로 사용된 "sdg62_AS.sa$die3"으로 RC5 key 를 통해 C&C 서버로 부터 받은 명령을 복호화 한다.