Jump to content
Sign in to follow this  
여우귀성애자

[Malware] 작은 이미지에 숨은 4세대 유닉스 루트킷

Recommended Posts

최근 새로이 밝혀진 녀석입니다.

요즘 악성코드들이 신기하게도 이미지 파일로 많이 변조되더라구요.

스테카노그라피 형식은 당연히 아니고, 악성코드를 용량을 많지 않게 작성한 뒤에 압축하여 이미지 파일에 숨기는 형식으로 많이 배포되더라구요.

제가 이번에 가져온 악성코드는 프랑스 에 위치한 nginx 서버에서 발견된 아주 작은 용량의 루트킷입니다.

데비안 리눅스 서버의 루트 디렉토리 밑의 table.png라는 이름으로 작성되었으며, 해당 악성코드의 탐지율은 초기에 20%조차도 안되었습니다.(virustotal-78개 백신엔진)

지금은 그나마 분석이 되고 있어서 38/78 정도의 탐지율을 보유하고 있는 악성코드인데요,

특정 의도를 가진 루트킷이 작은 용량으로 이미지 파일에 숨어있는 케이스다보니 악성코드 분석하면서 리버싱 연습또한 적당히 될 것 같아서 공유합니다.

table.zip

  • Like 1

Share this post


Link to post
Share on other sites

여러가지 상황을 보아한데 해당 악성코드가 있는, 프랑스에 위치한 서버를 분석한 결과, 해커가 악성코드 테스트를 위해서 만든 서버 같더라구요.

아래 경로를 통하여 다이렉트로 다운로드 할 수 있습니다.

145.239.25.101/table.png

Share this post


Link to post
Share on other sites

저도 구체적인 사항은 모르지만, 서버 권한 탈취후, 웹서버의 특정 디렉토리에 저장하거나, 파일업로드 공격을 통해 서버에 저장한뒤, 특정 디렉토리의 위치를 url창에 입력하여 서버단에서 실행하게 만드는 것 같습니다. 주로 백도어인 경우가 많아요. 

Share this post


Link to post
Share on other sites

이러한 공격은 시스템에 기본적으로 설치되어있는 이미지 뷰어에 취약한 부분을 이용하지 않을까요?

만약 맞다면 이미지 뷰어에 대한 보안패치가 빠르게 진행됬으면 좋겠네요.

Share this post


Link to post
Share on other sites
Guest
You are commenting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×

Important Information

I have read and accept the above terms.