깃허브서 가짜 PoC 발견돼… “개념증명으로 위장한 데이터 탈취용 백도어”

업틱스(Uptycs)의 보고서에 따르면 깃허브에서 가짜 리포지토리가 발견됐다. 취약점을 검증하는 개념증명 리포지토리로 위장했으나 사실은 숨겨진 데이터 탈취용 백도어였다. 

특히 해당 백도어는 잠재적 취약점을 파악하기 위한 PoC로 위장했기 때문에 사이버 보안 연구 커뮤니티에 영향을 미쳤다고 업틱스는 밝혔다. “이번 사례의 PoC는 양의 탈을 쓴 늑대였으며, 무해한 학습 도구로 가장한 이면에 악의적인 의도를 숨기고 있었다”라고 업틱스는 전했다.  

업틱스에 의하면 백도어는 다운로더로 작동했다. 아울러 커널 수준의 프로세스로 위장해 리눅스 배시 스크립트를 조용하게 덤프하고 실행했다. 백도어는 호스트 이름부터 사용자 이름, 홈 디렉토리 콘텐츠의 전체 목록까지 다양한 데이터를 유출할 수 있었다. “공격자는 authorized_keys 파일에 ssh 키를 추가해 타깃 시스템의 전체 접근 권한을 얻을 수 있었다”라고 업틱스는 덧붙였다. 

업틱스 연구진에 따르면 가짜 PoC는 현재 깃허브에서 삭제됐지만, 맬웨어가 포함됐다는 사실이 밝혀지기 전에 널리 공유됐다. “해당 PoC를 실행한 사용자는 데이터 유출 가능성이 높다”라고 연구진은 전했다. 
 

가짜 PoC

이번 가짜 PoC는 취약점 CVE-2023-35829와 관련돼 있다고 업틱스 연구진은 주장했다. 연구진은 해당 PoC가 사기일 수 있음을 시사하는 몇 가지 비정상적인 활동을 발견했다고 언급했다. “의심스러운 활동에는 예기치 않은 네트워크 연결, 비정상적인 데이터 전송, 무단 시스템 접근 시도 등이 있었다”라고 덧붙였다. 

아울러 해당 PoC는 또 다른 리눅스 커널 취약점인 CVE-2022-34918의 오래된 합법적 익스플로잇의 사본인 것으로 조사됐다. 유일한 차이점은 리눅스 배시 스크립트의 다운로더 역할을 하는 src/aclocal.m4 파일이 추가됐다는 것이다. 

해당 PoC는 소스코드 파일에서 실행 파일을 빌드하는 데 사용된다. 이 악성코드는 make 명령을 사용해 kworker 파일을 생성하고, 해당 파일 경로를 bashrc 파일에 추가해 악성코드가 피해자의 시스템 내에서 지속적으로 작동할 수 있도록 한다. 연구진은 이런 지속성 방법론이 매우 교묘하다고 언급했다. 

또한 연구진은 동일한 프로필인 ChriSander22가 깃허브에서 VM웨어 퓨전 CVE-2023-20871의 또 다른 가짜 PoC를 유포하고 있다는 사실을 관찰했다. “그 내용은 CVE-2023-35829와 동일하며, 숨겨진 백도어 설치를 트리거하는 aclocal.m4가 동일하다”라고 업틱스는 설명했다. 

합법적인 PoC와 악의적인 PoC를 구별하기 어려울 수 있다. 격리된 환경이나 가상머신에서 테스트하는 등 안전한 관행을 택하면 보안 연구진을 보호하는 계층을 제공할 수 있다. 이번 사례와 관련해서는 승인되지 않은 ssh 키를 제거하고, kworker 파일을 삭제하며, bashrc 파일에서 kworker 경로를 제거하고, /tmp/.iCE-unix.pid에서 잠재적 위협이 있는지 확인하라고 업틱스는 권장했다.  

업틱스는 “완전히 새로운 것은 아니지만, PoC를 통해 맬웨어를 유포하는 수법은 상당한 우려를 불러일으키며, 이런 수법은 계속 진화할 가능성이 높다”라고 말했다. 

지난 5월에는 시그널(Signal) 제로데이와 왓츠앱(WhatsApp) 제로데이 개념증명용 코드를 사칭한 악성 깃허브 리포지토리가 보고된 바 있다. 벌른체크(VulnCheck)는 이런 리포지토리를 생성하는 개인이 계정 네트워크를 만들어 합법적으로 보이도록 하고 있다고 언급하면서, “공격자는 6개의 깃허브 계정과 소수의 관련 트위터 계정을 만들었다. 계정은 모두 하이 시에라 사이버 시큐리티(High Sierra Cyber Security)라는 존재하지 않는 보안 회사인 것처럼 가장했다”라고 설명했다.