일본 JPCERT는 11월 16일 공격 조직 BlackTech가 사용하는 리눅스 악성코드 ELF_TSCookie를 공개했다. BlackTech는 리눅스에서 영향을 미치는 다른 종류의 악성코드도 사용하는데, 이번 발표에서 JPCERT는 PLEAD 모듈과 비교하여 ELF_PLEAD의 세부 내용을 공개했다.

  • PLEAD 모듈과 ELF_PLEAD 비교

ELF_PLEAD와 PLEAD 모듈은 코드의 많은 부분을 공유하며 통신을 포함한 대부분의 기능이 유사하다. 그림 1은 PLEAD 모듈과 ELF_PLEAD의 주요 기능을 비교한 것이다.

PLEAD 모듈과 ELF_PLEAD의 코드 비교
그림1. PLEAD 모듈과 ELF_PLEAD의 코드 비교

처리 과정을 보면 이 두 유형의 악성코드는 매우 유사하다는 것이 분명하다.

  • 구성

ELF_PLEAD는 0x1AA의 크기의 구성을 가지고 있다. 그림 2는 구성의 예로, 여기에는 C&C 서버 및 암호화 키와 같은 정보가 포함된다.

구성 예
그림 2. 구성 예

구성은 RC4로 암호화되며 암호화된 구성 바로 앞의 32 바이트 문자열이 암호화 키 이다.

암호화 된 구성 및 암호화 키 클래스 =
그림3. 암호화된 구성 및 암호화 키
  • 통신 프로토콜

PLEAD 모듈은 HTTP 프로토콜을 사용하여 C&C 서버와 통신하는 반면 ELF_PLEAD는 사용자 지정 프로토콜을 사용한다. 이 차이점 외에는 데이터 형식과 암호화 키를 교환하는 방법이 거의 동일하다. 그림4는 ELF_PLEAD가 수행하는 통신 흐름을 설명한다.

ELF_PLEAD의 통신 흐름
그림4. ELF_PLEAD의 통신 흐름

BlackTech는 윈도우 뿐만 아니라 리눅스를 타겟으로 하는 TSCookie, PLEAD, KIVARS 등 다양한 악성코드를 사용하는 것으로 확인됐다. 따라서윈도우에서 이러한 멀웨어가 발견되면 리눅스 환경도 다시 확인하는 것을 권장한다.

[출처 : JPCERT/ 11.16.]