사이버 보안 매체 해커뉴스에 따르면, 리눅스 모듈 아키텍츠와 루트킷(rootkit) 설치 기능을 갖춘 리눅스 멀웨어 ‘스위스 아미 나이프(Swiss Army Knife)’가 새로 발견되었다.
과거, ‘라이트닝 프레임워크(Lightning Framework)’라는 이름으로도 알려진 스위스 아미 나이프는 는 각종 신기능으로 점철되어 있어 리눅스를 위협하는 가장 교묘한 프레임워크 중 하나이다.
사이버 보안 기업 인터제르(Intezer) 소속 연구원인 라이언 로빈슨(Ryan Robinson)은 “라이트닝 프레임워크는 피해 기기의 SSH 오픈, 다형상 커멘드 및 제어 구성 등 공격자와 소통할 수 있는 패시브 및 액티브 기능 모두 갖추었다”라고 설명했다.
라이트닝 프레임워크를 구성하는 핵심 요소는 다운로더(kbioset)와 코어(kkdmflush) 모듈로, 전자는 원격 서버로부터 다수의 플러그인을 가져오며 코어 모듈이 이를 불러낸다.
또한, 다운로더는 프레임워크의 메인 모듈이 지속성을 유지할 수 있도록 하는 역할도 한다. 이와 관련, 로빈슨 연구원은 “다운로더 모듈의 핵심 기능은 다른 요소를 불러와 코어 모듈을 실행하는 것이다”라고 언급하였다.
코어 모듈은 C2 서버(command-and-control server)와 소통하여 플러그인을 실행하기 위해 필요한 명령을 불러오며 기기에서 존재를 감추기 위한 여러 조치도 시행한다.
원격 서버에서 받아오는 명령은 멀에워를 통한 기기의 정보를 수집, 쉘 명령 실행, 원격 서버로 파일 업로드, 파일 내 임의 데이터 작성, 호스트로부터 파일 업데이트 및 제거 등을 수행한다. 시스템 부팅 시 초기화 스크립트를 실행하고, 다운로더를 자동 실행할 수도 있다.
로빈슨 연구원이 설명한 바와 같이 라이트닝 프레임워크는 리눅스를 공격 대상으로 한 프레임워크로는 이례적으로 규모가 큰 편이다.
한편, 라이트닝 프레임워크는 BPFDoor, Symbiote, Syslogk, OrBit에 이은 5번째 리눅스 멀웨어로 앞선 멀웨어가 발견된 지 불과 3개월 만에 등장하였으며, 라이트닝 프레임워크의 구체적인 피해 사례는 알려진 바 없다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
