![[그림 1] 악성코드 실행 흐름도](https://prod-files-secure.s3.us-west-2.amazonaws.com/afccb5bc-1ab5-4724-9148-80c7758ebea9/e7afb4e3-d31b-4223-b28f-6644f86a3c4f/Untitled.png)
중국, 대만, 터키, 우즈베키스탄을 포함한 여러 국가들의 리눅스 시스템을 공격하는 DinodasRAT의 새로운 변종(v11)이 발견되었다. DinodasRAT는 "Earth Krahang", "LuoYu" 등과 같은 중국 연계 해킹조직에 의해 사용되어온 것으로 알려진 백도어 악성코드로써, 크로스플랫폼을 지원하여 윈도우 버전과 리눅스 버전이 존재한다. 초기 리눅스 버전은 2021년 7월에 처음 발견된 것으로 보고되었지만, 당시 발견된 버전이 v7이었다는 점을 감안하면, 실제 악성코드 개발은 그보다 더 일찍 시작된 것으로 추정된다. Check Point에 따르면, 최근 공격에 활용되고 있는 리눅스 변종(v11)의 경우, 최소 2023년 11월부터 발견되어 공격에 적극적으로 활용되고 있는 것으로 알려졌다.
DinodasRAT는 감염 시 SystemD 및 SystemV의 서비스 등록 메커니즘을 이용하여 지속성을 확보하고 원격제어를 위한 다양한 추가 기능들을 제공한다. 공격자는 이를 통해 쉘 명령 실행, 파일 다운로드/실행, 프로세스 실행/종료, 자가 삭제 등 다양한 악성행위를 수행할 수 있다. 최근 발견된 리눅스 변종(v11)의 경우에는 은닉 모듈을 다운로드하는 기능도 탑재하고 있어 netstat, ps 등과 같은 명령어 출력을 제어함으로써 악성코드의 존재를 은폐하기도 한다.
본 보고서에서는 최근 여러 국가의 리눅스 시스템을 대상으로 적극적으로 악용되고 있는 DinodasRAT(v11)에 대해 알아보도록 하겠다.
[그림 1] 악성코드 실행 흐름도
DinodasRAT는 버전 정보를 바이너리 내부에 문자열로 포함하고 있다. 분석 샘플은 최신 버전으로 확인된 리눅스용 v11 버전이다.
![[그림 2] DinodasRAT v11 리눅스 샘플](https://prod-files-secure.s3.us-west-2.amazonaws.com/afccb5bc-1ab5-4724-9148-80c7758ebea9/0f7f7688-7a0d-40f9-bfd2-13f18ae22bf3/Untitled.png)
[그림 2] DinodasRAT v11 리눅스 샘플
DinodasRAT는 현재 프로세스가 2개의 인자로 실행되었는지 확인하여 실행흐름을 분기한다. 2개 인자로 실행되지 않았을 경우, 초기 실행으로 간주하여 현재 실행중인 DinodasRAT 프로세스를 데몬(서비스)으로 변환한다. 이로 인해, 사용자 인터페이스나 터미널과의 상호작용 없이 백그라운드에서 동작하게 된다.
![[그림 3] 현재 프로세스를 데몬으로 변환하여 백그라운드 실행](https://prod-files-secure.s3.us-west-2.amazonaws.com/afccb5bc-1ab5-4724-9148-80c7758ebea9/655362f5-97d7-48df-b2e4-b19566c26df8/Untitled.png)
[그림 3] 현재 프로세스를 데몬으로 변환하여 백그라운드 실행
"cat /proc/version" 명령과 “cat /etc/lsb-release” 명령을 통해 감염 시스템의 OS 버전을 확인한다. 이는 레드햇 기반 리눅스인지, 우분투인지를 구분하여 그에 따른 지속성 설정 방식을 결정하기 위함이다.
![[그림 4] OS 버전 확인](https://prod-files-secure.s3.us-west-2.amazonaws.com/afccb5bc-1ab5-4724-9148-80c7758ebea9/9177b730-498a-4abf-b770-f692e426c503/Untitled.png)
[그림 4] OS 버전 확인