본문 바로가기

[보안경보] Linux 서버를 노리는 신종 Perfctl 멀웨어 - 암호화폐 채굴과 프록시재킹 위협

오토씨 2024. 10. 25.

안녕하세요! 오토씨입니다. 오늘은 Linux 서버에 심각한 영향을 미칠 수 있는 Perfctl이라는 새로운 악성코드에 대해 이야기해보려고 합니다. 이 악성코드는 서버의 취약점을 악용하여 리소스를 하이재킹하고 시스템을 위험에 빠뜨리는 위협을 제공합니다. 이 악성코드는 Linux 서버를 목표로 한 정교한 멀웨어로, 주로 서버의 취약점을 악용하여 암호화폐 채굴과 프록시재킹을 목적으로 합니다. 이번 글에서는 Perfctl의 작동 방식, 보안 위협 요소, 그리고 효과적인 예방 방법까지 심층적으로 살펴보도록 하겠습니다.

 

[보안경보] Linux 서버를 노리는 신종 Perfctl 멀웨어 - 암호화폐 채굴과 프록시재킹 위협

 

Perfctl의 작동 방식

Perfctl은 탐지를 회피하기 어려운 기술을 사용하고, 서버에 지속적으로 존재하며 활동을 이어가는 정교한 악성코드입니다. 시스템 관리자에게 탐지되지 않기 위해 유휴 상태에서만 활성화되고, 로그인 활동을 감지하면 즉시 활동을 중단하는 등 교묘한 전략을 사용합니다. 서버에 침투하는 방식도 정교한데, CVE-2021-4043과 같은 취약점을 악용하여 루트 권한을 획득하고, 이를 통해 악성코드인 "perfcc"를 배포합니다. 이 과정에서 원래의 바이너리를 삭제하고, 시스템에 새로운 사용자가 로그인하면 모든 "요란한" 활동을 멈추며, 서버가 유휴 상태일 때 다시 활성화됩니다. 이러한 방식은 탐지를 회피하고 관리자의 눈을 피하기 위한 전략입니다.

 

Perfctl은 루트킷 기술을 사용하여 자신을 숨깁니다. 시스템이 유휴 상태일 때만 암호화폐 채굴을 시작하여 리소스를 활용합니다. 이러한 조용한 활동 덕분에, 관리자는 시스템 내 이상 징후를 쉽게 놓칠 수 있습니다. 또한, Perfctl은 Unix 소켓과 Tor 네트워크를 이용해 외부 명령을 받아들이며, 이를 통해 감시를 회피하고 원격 명령 및 제어(C&C)를 수행할 수 있도록 합니다.

 

추가적으로, Perfctl은 서버 내의 특정 스크립트를 수정하여 합법적인 워크로드보다 먼저 실행되도록 설정합니다. 이는 시스템에서 항상 높은 우선순위로 실행되며, 백도어 설치나 권한 확대 등의 작업을 조용히 수행하게 만듭니다.



Perfctl의 위협 요소

Perfctl은 단순한 악성코드 이상의 위험을 가지고 있습니다. 이 멀웨어는 다음과 같은 주요 위협을 발생시킵니다:

  1. CPU 사용량 급증: Perfctl의 주된 목적은 서버 리소스를 하이재킹하여 암호화폐 채굴을 수행하는 것입니다. 따라서 서버의 CPU 사용량이 비정상적으로 급증하거나 성능 저하가 발생한다면 Perfctl의 활동을 의심해볼 필요가 있습니다.
  2. 은폐와 회피: Perfctl은 탐지를 피하기 위해 루트킷을 사용하며, 사용자 활동을 감지할 경우 활동을 즉시 중단합니다. 이는 관리자에게 탐지되지 않고 오랜 기간 동안 시스템을 악용할 수 있게 합니다.
  3. 프록시재킹: Perfctl은 단순한 채굴을 넘어, 서버를 프록시로 전환해 추가적인 악성 활동을 감행합니다. 이는 원치 않는 외부 네트워크 트래픽을 유발하며, 해당 서버가 다른 사이버 공격의 중간 매개체로 악용될 가능성이 큽니다.



효과적인 예방 조치

Perfctl과 같은 악성코드로부터 Linux 서버를 보호하기 위해서는 철저한 보안 조치가 필요합니다. 다음의 예방 조치를 고려해보세요:

  1. 시스템 및 소프트웨어 업데이트: 취약점을 악용하는 공격을 방지하기 위해 모든 시스템과 소프트웨어를 최신 상태로 유지하는 것이 필수적입니다.
  2. 파일 실행 제한: 필요하지 않은 서비스는 비활성화하고, 사용자 접근 권한을 제한하여 악성코드가 실행될 수 있는 기회를 줄입니다.
  3. 네트워크 세분화: 네트워크를 세분화하여 내부 시스템의 보안을 강화하고, 악성코드가 전체 시스템에 영향을 미치는 것을 방지합니다.
  4. 역할 기반 접근 제어(RBAC): 중요한 파일이나 디렉토리에 대한 접근을 엄격히 제한하여 공격 표면을 최소화합니다.

Perfctl은 정교하고 탐지가 어려운 맬웨어로, 최근 사이버 위협에서 볼 수 있는 최신 트렌드를 반영한 좋은 사례입니다. 예를 들어, 다양한 취약점을 이용해 루트 권한을 획득하거나, 은폐 및 탐지 회피를 위해 루트킷을 사용하는 등의 전략은 최근 많은 멀웨어에서 공통적으로 나타나는 특징입니다. Linux 서버를 운영하고 있다면, Perfctl과 같은 위협에 대한 경각심을 가지고 예방 조치를 철저히 취하는 것이 중요합니다. 최신 보안 정보를 지속적으로 확인하고 적절한 대응 방안을 마련하는 것이야말로 가장 효과적인 방어 수단이 될 것입니다.

 

이 글을 통해 Perfctl에 대한 이해가 깊어졌기를 바랍니다. 질문이나 의견이 있으시다면 언제든지 댓글로 남겨주세요!

저작자표시 비영리 변경금지

'IT소식' 카테고리의 다른 글

안드로이드 14: 2G 공격과 베이스밴드 공격을 막는 새로운 보안 기능  (0) 2024.10.28
비인간 아이덴티티(NHI) 보안 대책: 기업의 생존을 위한 필수 전략  (0) 2024.10.28
북한 해커 APT37의 최신 사이버 공격 캠페인 과 VeilShell 백도어 배포 방식  (0) 2024.10.25
인터폴 서아프리카 대규모 사기단 검거 - 피싱·로맨스 사기로 8명 구속  (0) 2024.10.25
LockBit 랜섬웨어와 Evil Corp의 체포 사건이 보여주는 사이버 범죄의 국제적 대응 강화  (0) 2024.10.25

관련글

댓글

티스토리툴바