악성 PAM 모듈로 제작되어 정체를 숨긴 ‘플래그(Plague)’라는 백도어 악성코드가 발견돼 비상이 걸렸다. 보안 블로그 시큐리티 어페어즈(Security affairs)는 이달 2일 독일 보안기업인 넥스트론 시스템즈(Nextron Systems) 연구원들이 이를 발견했다고 전했다.
이번에 발견된 플래그 악성코드는 앞서 1년 넘게 여러 종류의 변종이 구글 자회사 바이러스토탈(VirusTotal)에 등록됐지만, 그 어떤 안티바이러스 엔진도 이를 ‘악성’으로 인지하지 못했다. PAM(Pluggable Authentication Module)이란 리눅스 및 유닉스 기반 시스템에서 애플리케이션과 서비스에 대한 사용자 인증 정책을 정의하고 관리하는 공유 라이브러리 모음이다.
넥스트론 시스템즈(Nextron Systems) 연구원 피에르 앙리 페지어(Pierre-Henri Pezier)는 “이 백도어 악성코드는 악성 PAM으로 제작되어 공격자가 시스템 인증을 은밀하게 우회하고 지속적인 클라이언트와 서버 간 보안 연결에 사용되는 네트워크 프로토콜인 SSH(Secure Shell) 접근 권한을 획득할 수 있도록 한다”고 말했다.
PAM 모듈은 권한이 부여된 인증 프로세스에 로드되는 만큼 악성 PAM은 사용자 자격 증명을 도용하고 인증 검사를 우회하며 보안 도구에 탐지되지 않을 수 있다. 지난해 7월 29일 이후 바이러스토탈에는 여러 개의 플래그 아티팩트가 올라왔지만, 이곳에 등록된 여러 안티멀웨어 엔진에서는 악성으로 탐지된 적이 없었다.
피에르 앙리 연구원은 이 페스트 악성코드가 대표적으로 네 가지 악성 기능이 있다고 분석했다. 첫 번째는 ‘안티버그’로 분석 및 역설계를 방해하는 것이다. 두 번째는 ‘문자열 난독화’로 민감한 문자열과 오프셋을 보호해 안티바이러스 탐지를 복잡하게 만든다. 세 번째 ‘정적 자격증명’으로 공격자에게 추적 없이 은밀하게 접근할 수 있다. 네 번째는 ‘숨겨진 세션 아티팩트’로 공격 활동의 흔적을 삭제한다.
보안 전문가들은 이번 신형 악성코드에 대응하기 위해서는 PAM 무결성 검사, 인증 모니터링 강화, 행위 기반 보안 강화 등을 염두에 두고 보안 태세를 더욱 강화해야 한다고 밝혔다.
