리눅스 공격에 사용되는 노드 RAT 악성코드

Gh0st RAT 변종, WebLogic 취약점 악용 및 Cloud Snooper
APT 공격에 사용돼 백도어 악성코드로 악성파일 다운로드 및
감염 시스템 제어, 내부 정보 탈취, 명령 실행 공격

리눅스 버전의 고스트(Gh0st) RAT 변종 악성코드인 ‘노드(Nood) RAT’로 인한
공격이 확인되었다. 노드 RAT는 백도어 악성코드로 명령제어 서버로부터 명령을
받아 여러 악성 행위가 수행이 가능하다.

해당 악성코드의 원형은 고스트 RAT로 중국 C. Rufus Security Team에서
개발한 원격제어 악성코드다. 오픈소스 코드이기에 다양한 변종이 개발되어
공격에 활용이 되고 있으며 특히 중국어를 사용하는 공격자가 주로 사용한다.

노드 RAT는 2018년 처음 발견되었으며, WebLogic 취약점 공격을 통해 설치된
사례를 시작으로 코인 마이너 공격, Cloud Snooper APT 공격 캠페인 등 여러
공격에 활용되는 것이 확인되었다. 특히 AWS 내 서버를 대상으로 백도어
악성코드를 설치하고 시스템을 제어하기도 한다.

기사 전문 보기

리눅스 공격에 사용되는 노드 RAT 악성코드 유포됐다

 

분석

---

- 노드 RAT -

노트 RAT 빌더

노드 RAT는 크게 [원격 쉘 관리, 파일 관리, Socks 프록시, 포트 포워딩]의 4가지 기능을지원한다. 

이를 통해 악의적인 명령 실행, 파일 업로드/다운로드를 통한 정보 탈취, 네트워크패킷 탐지 우회, 

측면 이동 과정에서의 활용이 가능하다.

 

- 고스트 RAT 리눅스 버전 및 노드 RAT -

노드 RAT 파일 안에는 빌더 프로그램과 백도어 제어 프로그램이 포함되어 있다.

이를 통해 공격자는 아키텍처별로 바이너리를 생성하여 

공격 대상 시스템에 맞는 바이너리를 선택 사용이 가능하다. 

또한 정상 프로그램으로 위장하기 위해 이름을 변경하는 기능을 탑재하여 탐지를 우회한다. 

처음 C&C 서버에 연결된 고스트 RAT는 감염 시스템에 대한 기본적인 정보들을 획득하여 전송한다. 

전송되는 데이터는 RC4 알고리즘으로 암호화되며, 암호화 시 사용되는 키도

 현재 시간을 기준으로 생성되어 네트워크 패킷 기반의 탐지를 우회한다.

 

대응 & 결론

---

- 대응 -

해당 악성코드는 PC에서 실행이 되는 순간

공격자의 원격 제어 목록에 등록이 되어 제어가 가능해진다. 

또한 일반적으로 파일을 다운로드 받을 수 있는 모든 경로를 통해 악성코드가 유포되지만

 특히 웹하드, 토렌트 등의 파일 공유 서비스를 이용하여 유포가 되는 경우가 많다.
그렇기에 사용자는 원론적인 대응 방법이지만 

수상한 이메일에 대한 열람 및 실행 금지와 공식 홈페이지에서 제공하지 않는 프로그램 설치 등

 악성코드가 설치되지 않게 주의하는 것이 제일 중요하다.

 

- 결론 -

노드 RAT 악성코드는 오픈 소스로 공유가 되고 있는 악성코드다.

그렇기에 많은 공격자들이 쉽게 접근이 가능하고 많은 변종 악성코드가 만들어질 수 있다. 

이처럼 많은 변종 악성코드를 통해 진행되는 공격은 탐지하고 대처하기가 쉽지 않다.
사용자와 관리자는 가장 당연하지만 쉽게 지켜지기 어려운, 

원론적인 대응 방법을 잘 지키는 것이 중요하다. 

관련 시스템들은 항상 업데이트를 통해 최신 상태를 유지하고 인증 절차를 통해
악성코드의 감염을 사전에 차단할 수 있도록 하는 것이 그 무엇보다 중요한 대응방법일 것이다.

 

 

 

참고:
https://www.boannews.com/media/view.asp?idx=127025
https://www.igloo.co.kr/security-information/%EC%9B%90%EA%B2%A9-%EC%A0%91%EC%86%8D-%EB%8F%84%EA%B5%ACrat%EC%9D%98-%EB%91%90-%EC%96%BC%EA%B5%B4/

https://asec.ahnlab.com/ko/61761/