본문 바로가기
영문 위키피디아 번역

(번역) Linux malware

by 다움위키 2023. 12. 25.

리눅스 말웨어리눅스 운영 시스템에 영향을 미치는 바이러스, 트로이 목마, 및 다른 유형의 말웨어를 포함합니다. 리눅스, 유닉스 및 다른 유닉스-계열 컴퓨터 운영 시스템은 일반적으로 컴퓨터 바이러스에 대해 매우 잘 보호되지만, 면역성은 없는 것으로 여겨집니다.

그것에는 마이크로소프트 윈도우에서 흔히 볼 수 있는 유형의 광범위한 리눅스 바이러스 또는 말웨어 감염은 없었습니다; 이것은 일반적으로 말웨어의 루트 접근의 부족 및 대부분의 리눅스 취약점에 대한 빠른 업데이트에 기인합니다.

Linux vulnerability

유닉스 시스템과 마찬가지로, 리눅스는 사용자에게 특정 권한이 부여되고 구현된 접근 제어 형식이 있는 다중-사용자 환경을 구현합니다. 리눅스 시스템을 제어하거나 시스템 자체에 심각한 결과를 초래하려면, 말웨어가 시스템에 대한 루트 접근 권한을 얻어야 합니다.

과거에는, 리눅스의 낮은 시장 점유율로 인해 수익성이 낮은 대상이 되었기 때문에 리눅스에 말웨어가 거의 없다고 제안되어 왔습니다. Rick Moen, 숙련된 Linux 시스템 관리자는 다음과 같이 반박합니다:

[그 주장]은 웹 서버와 과학 워크스테이션을 포함하여 데스크탑이 아닌 여러 전문 분야에서 유닉스의 지배력을 무시합니다. 특히 아파치 httpd 리눅스/x86 웹 서버를 성공적인 공격의 대상으로 한 바이러스/트로이 목마/웜 작성자는 매우 풍부한 목표 환경을 보유하고 곧 지속적인 명성을 얻을 수 있을 것이지만, 단지 아직 그것이 발생하지 않았을 뿐입니다.

2008년에는 리눅스를 표적으로 하는 말웨어의 양이 증가하는 것으로 나타났습니다. Shane Coursen, Kaspersky Lab의 수석 기술 컨설턴트는 당시 "리눅스 악성코드의 성장은 특히 데스크톱 운영 시스템으로서의 인기도가 높아졌기 때문입니다... 운영 시스템의 사용은 말웨어 작성자에 의해 해당 OS에 대한 말웨어를 개발하려는 흥미와 직접적인 관련이 있습니다."

Tom Ferris, Security Protocols의 연구원은 Kaspersky의 보고서 중 하나에 대해 다음과 같이 말했습니다. "사람들의 생각에는, 만약 운영 시스템이 윈도우가 아니면, 그것은 안전하고, 그것은 그런 경우가 아닙니다. 그들은 아무도 리눅스 또는 Mac OS X에 대한 멀웨어를 작성하지 않는다고 생각합니다. 하지만 반드시 그런 것은 아닙니다."

일부 리눅스 사용자는 리눅스-기반 바이러스-백신 소프트웨어를 윈도우 사용자에게 전송하거나 윈도우 사용자로부터 전송되는 안전하지 않은 문서 및 이메일을 검사하기 위해 실행합니다. SecurityFocus의 Scott Granneman은 다음과 같이 말했습니다:

...일부 리눅스 시스템은 확실히 안티-바이러스 소프트웨어를 필요로 합니다. Samba 또는 NFS 서버는, 예를 들어, 문서를 문서화하지 않고, 바이러스를 포함하고 전파하는 Word와 Excel과 같은 취약한 마이크로소프트 형식으로 저장할 수 있습니다. 리눅스 메일 서버는 바이러스가 Outlook 및 Outlook Express 사용자의 사서함에 나타나기 전에 바이러스를 무력화하기 위해 AV 소프트웨어를 실행해야 합니다.

그것들이 다른 운영 시스템을 실행하는 컴퓨터에 메일을 보낼 수 있는 메일 서버에서 주로 사용되기 때문에, 리눅스 바이러스 스캐너는 일반적으로 모든 컴퓨터 플랫폼에 대해 알려진 모든 바이러스에 대한 정의를 사용하고 검색합니다. 예를 들어, 오픈 소스 ClamAV는 "마이크로소프트 오피스 매크로 바이러스, 모바일 말웨어와 기타 위협을 포함하는 바이러스, 웜 및 트로이 목마를 ... 탐지합니다."

Viruses and trojan horses

아래 나열된 바이러스는 리눅스 시스템에 최소한의 위협이지만 잠재적인 위협이 됩니다. 만약 바이러스 중 하나를 포함하는 감염된 바이너리가 실행되면, 리눅스 커널이 메모리에 상주하고 읽기 전용이므로 시스템이 일시적으로 감염됩니다. 임의의 감염 수준은 바이너리를 실행한 권한을 가진 사용자에 따라 다릅니다. 루트 계정으로 실행되는 바이너리는 전체 시스템을 감염시킬 수 있습니다. 권한 상승 취약점으로 인해 제한된 계정으로 실행되는 말웨어가 전체 시스템을 감염시킬 수 있습니다.

이것은 권한을 제한하기 위해 특별한 조치를 취하지 않고 실행되는 모든 악성 프로그램에 해당됨으로 주목할 가치가 있습니다. 사용자는 이 추가 코드를 다운로드하고 수정된 로그인 서버, 공개 메일 릴레이 또는 유사한 프로그램을 다운로드하도록 허용하고, 사용자가 로그인할 때마다 이 추가 구성 요소를 실행하도록 만드는 임의의 프로그램에 코드 조각을 추가하는 것은 간단합니다. 이를 위해서 특별한 말웨어 작성 기술이 필요하지는 않습니다. 사용자가 (트로이 목마) 프로그램을 처음 실행하도록 속이기 위해서는 특별한 기술이 필요할 수 있습니다.

소프트웨어 저장소의 사용은 저장소에 맬웨어가 없는지 확인하려는 관리자가 소프트웨어 저장소를 검사하므로 말웨어 설치 위협이 크게 줄어듭니다. 그 후에, 소프트웨어의 안전한 배포를 보증하기 위해, 체크섬을 사용할 수 있습니다. 이를 통해 메시지 가로채기 공격을 사용한 통신 하이재킹 또는 ARP 또는 DNS 중독과 같은 리다이렉션 공격을 통해 도입되었을 수 있는 수정된 버전을 노출할 수 있습니다. 이들 디지털 서명을 주의해서 사용하면 키와 체크섬이 처리되는 방식에 따라 원래 작성자, 패키지와 릴리스 유지 관리자 및 적절한 관리 접근 권한이 있는 다른 사람만 포함하도록 공격 범위를 제한하는 추가 방어선이 제공됩니다. 재현 가능한 빌드는 디지털 서명된 소스 코드가 바이너리 애플리케이션으로 안정적으로 변환되었음을 보장할 수 있습니다.

Worms and targeted attacks

유닉스-계열 시스템에 대한 고전적인 위협은 SSH 및 웹 서버와 같은 네트워크 데몬의 취약점입니다. 이것들은 웜이나 특정 대상에 대한 공격에 사용될 수 있습니다. 취약점이 발견될 때 서버는 매우 빠르게 패치가 적용되기 때문에, 이러한 종류의 웜이 널리 퍼진 경우는 몇 개뿐입니다. 특정 대상은 공개적으로 알려지지 않은 취약점을 통해 공격받을 수 있으므로 특정 설치가 안전하다는 보장은 없습니다. 또한 그러한 취약점이 없는 서버는 약한 암호를 통해 성공적으로 공격을 받을 수 있습니다.

Web scripts

리눅스 서버는 역시 시스템 자체에 대한 임의의 공격 없이 말웨어에 의해 사용될 수 있는데, 예를 들어 웹 콘텐츠 및 스크립트가 충분히 제한되거나 확인되지 않고 방문자를 공격하기 위해 말웨어에 의해 사용됩니다. 일부 공격은 리눅스 서버를 공격하기 위해 복잡한 말웨어를 사용하지만, 대부분이 전체 루트 접근 권한을 얻었을 때 해커는 바이너리 교체 또는 모듈 삽입과 같은 모든 것을 수정함으로써 공격할 수 있습니다. 이것은 웹의 다른 콘텐츠로 사용자의 리다이렉션을 허용합니다. 전형적으로, 주석을 남기기 위한 CGI 스크립트는 실수로 웹 브라우저의 취약점을 악용하는 코드를 포함할 수 있습니다.

Buffer overruns

이전 리눅스 배포판은 버퍼 오버플로 공격에 상대적으로 민감했습니다: 만약 프로그램이 버퍼 자체의 크기에 신경 쓰지 않으면, 커널은 제한된 보호만 제공하여, 공격자에게 공격을 받는 취약한 응용 프로그램의 권한 아래에서 임의의 코드를 실행하는 것을 허용합니다. 루트가 아닌 사용자 (setuid 비트를 통해)가 실행한 경우에도 루트 접근 권한을 얻는 프로그램은 특히 공격에 매력적이었습니다. 어쨌든, 2009년 이래로 대부분의 커널은 address space layout randomization (ASLR), 향상된 메모리 보호 및 기타 확장이 포함되어 있어 그러한 공격을 정렬하기에 훨씬 더 어렵습니다.

Cross-platform viruses

2007년에 확인된 우려 영역은 크로스 플랫폼 응용 프로그램의 인기에 힘입어 크로스 플랫폼 바이러스의 영역입니다. 이것은 Badbunny라는 OpenOffice.org 바이러스의 배포로 인해 말웨어 인식의 최전선에 나타났습니다.

Symantec의 Stuart Smith는 다음과 같이 썼습니다:

이 바이러스를 언급할 가치가 있는 것은 스크립팅 플랫폼, 확장성, 플러그인, ActiveX 등이 얼마나 쉽게 남용될 수 있는지를 보여줍니다. 또 다른 공급업체와 기능을 일치시키려는 과정에서 이것을 잊어버리는 경우가 너무 많습니다... 웹 사이트를 통해 점점 더 많은 말웨어가 유입됨에 따라 말웨어에 대한 능력이 플랫폼-교차, 응용 프로그램-교차 환경에서 생존할 수 있는 것은 특히 관련이 있습니다. 플랫폼에 관계없이 누군가가 이와 같은 것을 사용하여 웹 서버에 JavaScript 감염원을 제거할 때까지 얼마나 걸릴까요?

Social engineering

다른 운영 시스템에서 처럼, 리눅스는 사용자가 사회 공학을 통해 설치하도록 속이는 악성 코드에 취약합니다. 2009년 12월에, 서비스 거부 공격에 감염된 리눅스 PC를 사용하는 스크립트가 포함된 악성 워터폴 스크린세이버가 발견되었습니다.

Anti-virus applications

리눅스 운영 시스템 아래에서 실행하려는 여러 가지 바이러스 백신 응용 프로그램이 있습니다. 이들 응용 프로그램의 대부분은 마이크로소프트 윈도우 사용자에게 영향을 줄 수 있는 취약점을 찾습니다.

For Microsoft Windows-specific threats

이들 응용 프로그램은 MS Windows 사용자에게 파일을 전달하는 컴퓨터 (전형적으로 서버)에 유용합니다. 그것들은 리눅스 관련 위협을 찾지 않습니다.

For Linux-specific threats

이들 응용 프로그램은 실행 중인 리눅스 컴퓨터에 대한 실제 위협을 찾습니다.

리눅스 말웨어는 다음과 같은 메모리 포렌식 도구를 사용하여 탐지 (및 분석)할 수도 있습니다:

  • Forcepoint (proprietary)
  • Volatility (free and open source software)

Threats

다음은 알려진 리눅스 말웨어의 일부 목록입니다. 어쨌든, 야생에 있는 경우는 거의 없고, 대부분은 리눅스 업데이트로 인해 쓸모없게 되었거나 위협이 되지 않았습니다. 알려진 말웨어가 유일한 또는 가장 중요한 위협은 아닙니다. 새로운 말웨어 또는 특정 사이트에 대한 공격은 이전에 커뮤니티에 알려지지 않았거나 말웨어에서 사용하지 않은 취약점을 사용할 수 있습니다.

Botnets

  • Mayhem – 32/64-bit Linux/FreeBSD multifunctional botnet
  • Linux.Remaiten – a threat targeting the Internet of things.
  • Mirai (malware) – a DDoS botnet spreads through telnet service and designed to infect Internet of Things (IoT).
  • GafGyt/BASHLITE/Qbot – a DDoS botnet spreads through SSH and Telnet service weak passwords, firstly discovered during bash Shellshock vulnerability.
  • LuaBot – a botnet coded with modules component in Lua programming language, cross-compiled in C wrapper with LibC, it aims for Internet of Things in ARM, MIPS and PPC architectures, with the usage to DDoS, spreads Mirai (malware) or selling proxy access to the cyber crime.
  • Hydra, Aidra, LightAidra and NewAidra – another form of a powerful IRC botnet that infects Linux boxes.
  • EnergyMech 2.8 overkill mod (Linux/Overkill) – a long last botnet designed to infect servers with its bot and operated through IRC protocol for the DDoS and spreading purpose.

Ransomware

Rootkits

  • Snakso – a 64-bit Linux webserver rootkit

Trojans

  • Effusion – 32/64-bit injector for Apache/Nginx webservers, (7 Jan 2014)
  • Hand of Thief – Banking trojan, 2013,
  • Kaiten – Linux.Backdoor.Kaiten trojan horse
  • Rexob – Linux.Backdoor.Rexob trojan
  • Waterfall screensaver backdoor – on gnome-look.org
  • Tsunami.gen – Backdoor.Linux.Tsunami.gen
  • Turla – HEUR:Backdoor.Linux.Turla.gen
  • Xor DDoS – a trojan malware that hijacks Linux systems and uses them to launch DDoS attacks which have reached loads of 150+ Gbps.
  • Hummingbad – has infected over 10 million Android operating systems. User details are sold and adverts are tapped on without the user's knowledge thereby generating fraudulent advertising revenue.
  • NyaDrop – a small Linux backdoor compiled from a Linux shellcode to be used to infect Linux boxes with bigger size Linux malware.
  • PNScan – Linux trojan designed to aim routers and self-infecting to a specific targeted network segment in a worm-like form
  • SpeakUp – a backdoor trojan that infects six different Linux distributions and macOS devices.

Viruses

  • 42
  • Arches
  • Alaeda – Virus.Linux.Alaeda
  • Binom – Linux/Binom
  • Bliss – requires root privileges
  • Brundle
  • Bukowski
  • Caveat
  • Cephei – Linux.Cephei.A (and variants)
  • Coin
  • Hasher
  • Lacrimae (aka Crimea)
  • MetaPHOR (also known as Simile)
  • Nuxbee – Virus.Linux.Nuxbee.1403
  • OSF.8759
  • PiLoT
  • Podloso – Linux.Podloso (The iPod virus)
  • RELx
  • Rike – Virus.Linux.Rike.1627
  • RST – Virus.Linux.RST.a (known for infecting Korean release of Mozilla Suite 1.7.6 and Thunderbird 1.0.2 in September 2005)
  • Staog
  • Vit – Virus.Linux.Vit.4096
  • Winter – Virus.Linux.Winter.341
  • Winux (also known as Lindose and PEElf)
  • Wit virus
  • Zariche – Linux.Zariche.A (and variants)
  • ZipWorm – Virus.Linux.ZipWorm

Worms

  • Adm – Net-Worm.Linux.Adm
  • Adore
  • Bad Bunny – Perl.Badbunny
  • Cheese – Net-Worm.Linux.Cheese
  • Devnull
  • Kork
  • Linux/Lion
  • Linux.Darlloz – targets home routers, set-top boxes, security cameras and industrial control systems.
  • Linux/Lupper.worm
  • Mighty – Net-Worm.Linux.Mighty
  • Millen – Linux.Millen.Worm
  • Ramen worm - targeted only Red Hat Linux distributions versions 6.2 and 7.0
  • Slapper
  • SSH Bruteforce

External links

관련글

티스토리툴바