Krasue RAT, 크로스 커널 Linux 루트킷을 사용하여 통신 공격

XorDdos Linux 원격 액세스 트로이 목마(RAT)의 제작자를 묶은 공격자들은 탐지되지 않은 채 거의 XNUMX년 동안 별도의 Linux RAT를 사용해 태국의 조직을 표적으로 삼고 감염된 시스템에 대한 악의적인 액세스를 유지해 왔습니다.

동남아시아 민속에 나오는 야행성 원주민 정신의 이름을 딴 Krasue라고 불리는 RAT는 다음과 같은 레이더 아래로 비행하기 위해 은밀한 기술의 조합을 사용합니다. 루트킷의 사용 Group-IB의 연구원들은 다양한 버전의 Linux 커널을 지원하기 위해 XNUMX개의 컴파일된 버전을 포함하고 있다고 보고했습니다. 블로그 게시물 7월 XNUMX일 출판.

주요 기능은 쥐 — 2021년 VirusTotal에 등장했지만 공개적으로 보고된 적이 없는 — 호스트에 대한 액세스를 유지하는 것입니다. 이는 RAT가 "봇넷의 일부로 배포되거나 초기 액세스 브로커에 의해 특정 대상에 대한 액세스 권한을 얻으려는 다른 사이버 범죄자에게 판매"될 가능성이 높다는 것을 의미합니다. Sharmine Low, 멀웨어 분석가, Group-IB 위협 인텔리전스 팀 , 게시물에 썼습니다.

Krasue는 아마도 다음과 같은 작가에 의해 만들어졌을 것입니다. XorDdos 리눅스 트로이 목마, 또는 적어도 동일한 소스 코드에 액세스할 수 있었다고 연구진은 말했습니다. Microsoft는 2014년에 클라우드 및 IoT 배포에 대한 공격에 널리 사용되는 XorDdos를 발견했습니다.

연구원들이 RAT의 독특한 점 중 하나는 RTSP(실시간 스트리밍 프로토콜) 메시지를 사용하여 위장된 "살아있는 핑" 역할을 한다는 점인데, 이는 야생에서는 거의 볼 수 없는 전술이라고 그들은 말했습니다. RTSP는 일반적으로 비디오 스트리밍 및 비디오 감시 시스템과 같은 IP 네트워크를 통한 실시간 미디어 스트림 전달을 제어하는 ​​데 사용됩니다.

Krasue에 감염된 시스템에 대한 초기 액세스 권한을 얻는 방법은 불분명하지만 가능성 있는 경로에는 취약성 악용 또는 자격 증명 무차별 대입 공격이 포함됩니다. 초기 액세스를 위한 또 다른 옵션은 RAT가 악의적인 제XNUMX자 소스로부터 사기성 패키지나 바이너리(예: 가짜 제품 업데이트)의 일부로 다운로드되는 것일 수 있다고 덧붙였습니다.

Group-IB는 RAT가 주로 통신 부문을 표적으로 삼는 데 사용되는 것을 관찰했지만 연구원들은 다른 업종의 조직도 표적이 될 가능성이 있다고 믿습니다. 또한 사이버 범죄자가 이미 표적 네트워크에 침입한 후에 Krasue가 공격 체인 후반에 배치되었을 가능성이 높습니다.

Linux 루트킷을 통해 로우 프로파일 유지

연구원들은 은밀한 특성의 조합을 고려할 때 Krasue RAT가 XNUMX년 동안 탐지되지 않은 채 숨어 있는 것은 놀라운 일이 아니라고 말했습니다. 이러한 기술 중 일부는 Linux 커널 모듈(LKM)인 Krasue 루트킷 또는 런타임 시 커널에 동적으로 로드할 수 있는 개체 파일의 사용 및 기능에 있습니다.

감염된 시스템에서 루트킷은 유효한 디지털 서명 없이 VMware 드라이버로 가장합니다. Linux 커널 버전 2.6x/3.10.x를 대상으로 하는 루트킷은 LKM이라는 특성으로 인해 다음의 기능을 확장합니다. 커널 전체 커널 소스 코드를 다시 컴파일하거나 수정할 필요 없이. 더욱이 초기화 단계에서 루트킷은 자신의 존재를 숨긴 다음 계속해서 후크를 진행합니다. "kill()” 시스템 호출, 네트워크 관련 기능 및 파일 목록 작업을 수행하여 해당 활동을 모호하게 만듭니다.

Krasue가 탐지를 회피한 또 다른 이유는 UPX 패킹을 사용하기 때문입니다. 패킹된 악성 코드 샘플은 일반적으로 보안 솔루션으로 탐지하기가 더 어렵고, 오래된 Linux 서버는 어쨌든 EDR(엔드포인트 탐지 및 응답) 범위가 좋지 않은 경우가 많다고 연구진은 말했습니다.

XNUMXD덴탈의 쥐 또한 자체를 데몬화하고, 백그라운드 프로세스로 실행하고, SIGINT 신호를 무시하여 회피 기능을 향상시킵니다. 마지막으로 사용자가 Ctrl-C를 눌러 프로세스를 종료할 때 전송되는 중단 신호에 악성코드가 영향을 받지 않는다는 의미입니다.

Krasue는 또한 마스터 C2에 2개의 하드코딩된 IP 주소를 사용하고 앞서 언급한 통신에 RTSP를 사용하는 등 명령 및 제어(CXNUMX) 네트워크와의 통신을 모호하게 하는 기능도 갖추고 있다고 Low는 말했습니다. .

“Krasue는 항상 처음에 내부 주소에 연결을 시도합니다.”라고 그녀는 게시물에서 설명했습니다. “응답이 여러 번 발생하지 않고 서버에 이어 서버에 연결을 시도한 후에만 RTSP에 일반적으로 사용되는 포트인 포트 128에서 199[.]226[.]11[.]554에 연결을 시도합니다. 맬웨어 개발자는 일반적으로 네트워크 트래픽을 위장하기 위해 합심하여 노력하지만 이러한 목적으로 RTSP를 사용하는 경우는 매우 드뭅니다.”

Linux RAT에 대한 보안 권장 사항

Group-IB는 보안 전문가에게 Krasue RAT의 잠재적인 감염을 경고하기 위해 여러 가지 권장 사항을 제시했습니다. 하나는 시스템에 악성 코드가 있음을 경고할 수 있는 비정상적인 RTSP 트래픽을 감시하는 것입니다.

연구원들은 또한 조직이 다음에서 제공하는 평판이 좋은 저장소를 사용하여 신뢰할 수 있고 공식적인 소스에서만 소프트웨어와 패키지를 다운로드할 것을 권장했습니다. Linux 배포판 또는 보안에 대한 평판이 좋은 검증된 제XNUMX자 소스.

또한 관리자는 서명된 모듈만 로드하도록 Linux 커널을 구성하여 커널 모듈 서명 확인을 활성화해야 합니다. Low는 “이렇게 하면 신뢰할 수 있는 소스의 유효한 디지털 서명이 있는 모듈만 로드할 수 있습니다.”라고 썼습니다.

손상을 피하기 위해 관리자가 취할 수 있는 다른 보안 단계는 시스템 및 네트워크 로그를 모니터링하고(의심스러운 활동이 있는지 정기적으로 검토하고) 정기적인 보안 감사를 수행하는 것입니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/krasue-rat-cross-kernel-linux-rootkit-telecom