합법적인 프로그램 다운사이트는 리눅스를 노린다 - 보안 기사읽기 1주차 3일

 

free download manager 사이트에서 리눅스 유저 전용 deb파일을 설치를 하니 

현재사이트가 아닌 다른 사이트의 origin을 가지고 리다이렉트되어 다운이 되는 것을 볼 수 있습니다.

 

합법적인 사이트라고 인식이 알려진 사이트이지만 이렇게 될 경우 의심을 받을 수 밖에 없고 명확한 악성행위로 보입니다. 3년간 이렇게 해왔지만 누군가의 신고로 조사를 착수하게 됐습니다.

 

또한 윈도우 유저까지 모든 유저까지 다운되게 하지 않고 기본적으로 강력한 end point 보안이 탑재되어 있지 않은 취약한 리눅스 개발용 또는 기업 리눅스 host까지 노렸습니다.

 

실행하게 되면 이 멀웨어는 난독화같은게 없는 bash스크립트로 시스템의 정보를 공격자 서버에 넘깁니다.

infostealer역할을 하고 결국 이런 정보들이 initial access 및 2차 공격에 매우 도움이 됩니다.

 

특히 

• /etc/cron.d/collect
• /var/tmp/crond
• /var/tmp/bs

와 같이 crontab, crond 으로 컴퓨터가 시작하자마자 스크립트가 실행되게 하므로 지속성까지 노렸습니다.

 

 

bleeping computer에서 어떻게 된 거냐고 물어봐도 아직 답변이 없습니다.