탐지되지 않고 암호화폐 채굴하는 리눅스 멀웨어 발견

최근 두 명의 위협분석 전문가가 탐지되지 않으면서 암호화폐 채굴 작업을 수행하는 새로운 리눅스 멀웨어를 우연히 발견했다.

지난 9월 16일, 아우구스토 레밀라노 2세(Augusto Remillano II)와 야쿠브 우르바네크(Jakub Urbanec)는 보안 정보 블로그인 트렌드 마이크로(Trend Micro)에 게재한 포스팅에서 새로운 리눅스 멀웨어를 발견했다고 밝혔다. 이 분석가들에 따르면, 이 멀웨어에 특히 주목하게 되는 이유는 악성 커널 모듈을 로드하여 자신의 암호화폐 채굴 작업을 숨기는 방식 때문이라고 한다.

멀웨어, 해커에게 감염된 컴퓨터에 대한 완전한 접근권 부여

이 분석가들은 스키드맵(Skidmap)이 루트킷(rootkit)을 이용해 암호화폐 채굴 작업을 숨긴다고 밝혔다. 루트킷은 최종 사용자의 동의 없이 또는 최종 사용자 모르게 시스템에 코드를 설치하고 실행하는 프로그램이다. 이 때문에 감염된 시스템의 모니터링 툴이 멀웨어 구성 요소를 감지할 수 없다.

멀웨어는 감염된 컴퓨터에서 크립토재킹(cryptojacking:암호화폐 채굴) 작업을 수행하는 것 외에도 공격자들에게 감염된 시스템에 대한 "무제한적인 접근권"을 제공한다고 한다. 이 분석가들의 설명은 다음과 같다.

“스키드맵은 또한 컴퓨터에 대한 백도어 접근을 가능케 하는 방법을 설정하고, 시스템의 pam_unix.so 파일을 자신의 악성 버전으로 대체하기도 한다. 이 악성 파일은 어떤 사용자에 대해서든 특정 암호를 받아들이므로 공격자는 이 컴퓨터의 어떠한 사용자로도 로그인할 수 있게 된다.”

크립토재킹 29% 증가

암호화폐 탈취는 은밀한 암호화폐 채굴 공격에 대한 업계 용어로서, 그 작동 방식은 사용자의 동의 없이 또는 사용자 모르게 멀웨어를 설치하거나 컴퓨터의 암호화폐 채굴 처리능력에 대한 접근권을 입수하는 것이다.

지난 8월에 사이버 보안 전문업체인 맥아피 랩스(McAfee Labs)가 발표한 위협 보고서에서는 2019년 1분기의 암호화폐 탈취 활동과 랜섬웨어 공격이 증가했다고 밝혔다. 이 보고서에 따르면, 암호화폐 탈취 활동은 꾸준히 증가해 29%의 증가율을 보이기에 이르렀다고 한다.