리눅스 커널 루트킷 점검 가이드

자료 기본정보

- 설명

📢 주의사항

본 가이드는 레드햇 기반 리눅스 시스템에서 ‘리눅스 커널 루트킷’ 탐지를 지원하기 위한 스크립트를 포함하고 있습니다.

다

만, 시스템 별 환경 차이(커널 버전, 보안 설정, 서비스 구성 등)로 인해 해당 명령어나 스크립트 실행 시, 시스템에 예기치 않은

동작 또는 오류가 발생할 수 있습니다.

따라서 실행 전 ▲사내 보안 정책 위반 여부, ▲시스템 영향 가능성 등을 반드시 확인해 주시기 바라며, 실행으로 인해 발생하

는 모든 결과 및 책임은 사용자 본인에게 있음을 안내 드립니다.

📌 스크립트 실행 및 진단방법

⚠️ 시스템 요구사항

운영체제(유닉스 계열은 지원하지 않음)

레드햇 계열 리눅스 (Red Hat Enterprise Linux, CentOS 등)

파일시스템: XFS, EXT2, EXT3, EXT4, BTRFS

# 관리자(root) 권한 및 스크립트 실행권한 부여 필요

./rootkit_detect_scanner_v1.0.sh# POSIX의 경우 POSIX 호환 스크립트(rootkit_detect_scanner_posix_v1.0.sh) 실행(정상메시지 😀) [OK] No Hidden Entry | Rootkit Not Found | Backdoor Not Found(비정상메시지 🤯) [ALERT] Hidden Entry Found! | Suspicious Rootkit Found! | Backdoor Found!

비정상메시지의 경우 출력된 악성(의심)파일 대상 추가 점검 필요

점검 배경 및 감염증상

최근 리눅스 커널 루트킷 및 함께 사용되는 백도어 악성코드의 유행에 따라 점검할 수 있는 스크립트를 개발 및 배포

감염증상

1.루트킷(was-patch) 은닉

2.백도어(was_sys_relay) 은닉

점검 스크립트 동작절차

1. 부팅/서비스 디렉토리 설정( /etc/systemd/system/ , /etc/init.d/ , /etc/rc2.d/ , /etc/rc3.d/ , /etc/rc5.d/ )

💡 사내 정책상 자동실행경로가 추가로 존재하면 스크립트 수정 후 실행 권장

현재 유포되고 있는 루트킷은 지속성 유지를 위하여 시스템 부팅시 자동으로 실행되도록 구성되기 때문에 부팅/서비스 스크립트

점검을 통해 악성코드를 탐지하도록 개발

2. 부팅/서비스 디렉토리에 대한 아이노드를 확인하고, 연결된 데이터블록을 조회→ 은닉된 스크립트 포함

💡 아이노드(inode)와 데이터블록(data block)이란?

아이노드 : 파일타입, 권한, 크기 등 파일에 대한 메타데이터와 데이터의 실제 저장 위치를 가지고 있는 구조체

데이터블록 : 디스크 상 실제 파일이 저장되어 있는 공간

3. 리눅스 명령어( ls )를 통해 유저 스페이스에서 확인되는 디렉토리 내 파일목록 조회 → 은닉된 스크립트 미포함

4. 동작절차 2와 3의 차집합을 도출, 은닉된 부팅/서비스 스크립트 존재 확인

5. 스크립트 파일 내 정의되어 있는 루트킷 악성코드 파일경로 확인

6. 루트킷 악성코드 내 문자열을 추출하여 백도어 악성코드 파일경로 확인

7. 탐지된 악성코드(루트킷, 백도어) 실행 시점 및 해시, 프로세스 정보 출력

실행결과

리눅스 커널 루트킷 점검 가이드 2

리눅스 커널 루트킷 점검 가이드 3

미리보기