2015.05.12

은밀한 리눅스 GPU 악성코드, "윈도우 PC뿐만 아니라 맥에도 잠복할 수 있어"

Lucian Constantitn | IDG News Service
그래픽 카드에서 실행되는 리눅스 루트킷을 만든 익명의 개발팀이 윈도우에서도 동일한 기능을 수행하는 최신 기술검증 악성코드 프로그램을 배포했다. 그뿐만 아니라 맥 OS X에서도 동작하는 것으로 알려졌다.

이 개발자들은 현재 보안 업계에서 대비해놓지 않은 GPU를 악성코드로 감염시킬 수 있다는 인식을 높이기 위해 개발을 진행한 것으로 알려졌다. 이들은 악의적인 목적을 가진 해커는 아닌 것으로 보이나, 이들이 배포한 소스코드는 불완전하고 잠재적인 버그를 탑재할 수 있다는 점에서 불법적인 목적으로 악용될 소지가 많다.

이 개발자들은 윈도우나 리눅스와 같은 운영체제나 GPU 자체보다는, GPU가 사용하는 RAM(Random Access Memory)을 스캔하지 않는 기존 보안 도구를 악의적으로 사용할 수 있음을 강조하고 있다.

개발자에 따르면, 이 최신 윈도우 악성코드는 WIN_JELLY라고 명명되었으며, RAT(Remote Access, 원격제어) 또는 트로이처럼 행동한다.

RAT는 공격자가 감염된 컴퓨터를 광범위하게 제어할 수 있는 권한을 부여하며, 지난 몇년 동안 많은 표적 공격에 사용됐다. 그러나 WIN_JELLY의 특정 기능에 대해서는 아직 자세히 밝혀지지 않았다.

기존의 관념을 새롭게 활용하다
그래픽 카드에서 동작하는 악성코드에 대한 개념은 새로운 것이 아니다. 지난 2013년 컬럼비아 대학교와 그리스 헬라스에 위치한 연구 및 기술 재단(Foundation for Research and Technology)는 학술 연구구를 목적으로 GPU를 이용한 키로거를 개발했다.

이들은 연구 논문에서 “GPU에서 범용 코드를 실행하는 기능은 악성코드 개발자들이 기존 방어 체계를 악용할 수 있는 새로운 활로를 제공할 것”이라고 경고했다.

기존의 안티 악성코드 도구는 그래픽 카드와 같은 별도의 하드웨어 장치의 메모리에 저장되거나 시스템의 CPU에서 실행되지 않는 악성 코드는 검출하지 못한다고 개발자들은 밝혔다.

2013년 학술 논문에서 영감을 받은 이들은 데몬(Demon)이라는 기술검증용 리눅스 키로거를 배포했다. 또한, GPU에서 작동하는 리눅스 시스템용 루트킷인 젤리피시(Jellyfish)도 추가했다.

이 루트킷은 ABM나 엔비디아 전용 그래픽 카드와 오픈CL(Open Computing Language) 드라이버가 있어야 작동했다. 오픈CL은 GPU와 다른 유형의 프로세서를 실행하는 프레임워크다.

“리눅스뿐만 아니라 맥 OS X도 겨냥”
지난주 주요 뉴스들은 젤리피시가 리눅스 PC를 감염시킬 수 있다는 측면만 강조하는 보도를 했으며, 윈도우 또는 맥은 이러한 위협에 영향을 받지 않는다는 근거 없는 믿음을 심어줬다. 이에 익명의 개발자들은 이러한 관념이 틀렸음을 입증하는 다음 단계를 준비하고 있다.

지난주 배포된 WIN_JELLY는 엔비디아 그래픽 카드와 엔비디아 CUPA 드라이버를 설치한 윈도우 기반의 컴퓨터에서 동작한다. 엔비디아 CUPA는 개발자가 엔비디아 GPU의 프로세싱 능력을 최대한 활용할 수 있도록 하는 병렬 컴퓨팅 플랫폼이다.

소수 사용자의 PC에만 엔비디아 CUPA가 설치됐다는 점에서 단기적으로는 이와 같은 형태의 악성코드가 널리 퍼지는 데는 한계가 있을 것으로 보인다. 그러나 복잡한 소학적 계산을 위해 GPU를 사용하는 프로그램이 많아질수록 CUDA 사용자도 늘어나 피해가 점차 커질 수도 있다.

깃허브 내 개설된 젤리피시 페이지를 토대로 해본다면 이들 개발자는 맥 OS X 버전인 MAC_JELLY도 만들 계획인 것으로 보인다. 이들은 자신들의 리눅스 루트킷에 관해 설명하면서 “맥 OS X에도 오픈CL이 선탑재되고 있다”고 언급했다.

한편, 이들은 방어적인 측면에서 시스템 관리자와 보안 연구원들이 GPU 기반의 악성코드를 탐지할 수 있도록 하는 젤리스캔(JellyScan)이라는 도구도 개발하는 것으로 알려졌다. editor@itworld.co.kr 


2015.05.12

은밀한 리눅스 GPU 악성코드, "윈도우 PC뿐만 아니라 맥에도 잠복할 수 있어"

Lucian Constantitn | IDG News Service
그래픽 카드에서 실행되는 리눅스 루트킷을 만든 익명의 개발팀이 윈도우에서도 동일한 기능을 수행하는 최신 기술검증 악성코드 프로그램을 배포했다. 그뿐만 아니라 맥 OS X에서도 동작하는 것으로 알려졌다.

이 개발자들은 현재 보안 업계에서 대비해놓지 않은 GPU를 악성코드로 감염시킬 수 있다는 인식을 높이기 위해 개발을 진행한 것으로 알려졌다. 이들은 악의적인 목적을 가진 해커는 아닌 것으로 보이나, 이들이 배포한 소스코드는 불완전하고 잠재적인 버그를 탑재할 수 있다는 점에서 불법적인 목적으로 악용될 소지가 많다.

이 개발자들은 윈도우나 리눅스와 같은 운영체제나 GPU 자체보다는, GPU가 사용하는 RAM(Random Access Memory)을 스캔하지 않는 기존 보안 도구를 악의적으로 사용할 수 있음을 강조하고 있다.

개발자에 따르면, 이 최신 윈도우 악성코드는 WIN_JELLY라고 명명되었으며, RAT(Remote Access, 원격제어) 또는 트로이처럼 행동한다.

RAT는 공격자가 감염된 컴퓨터를 광범위하게 제어할 수 있는 권한을 부여하며, 지난 몇년 동안 많은 표적 공격에 사용됐다. 그러나 WIN_JELLY의 특정 기능에 대해서는 아직 자세히 밝혀지지 않았다.

기존의 관념을 새롭게 활용하다
그래픽 카드에서 동작하는 악성코드에 대한 개념은 새로운 것이 아니다. 지난 2013년 컬럼비아 대학교와 그리스 헬라스에 위치한 연구 및 기술 재단(Foundation for Research and Technology)는 학술 연구구를 목적으로 GPU를 이용한 키로거를 개발했다.

이들은 연구 논문에서 “GPU에서 범용 코드를 실행하는 기능은 악성코드 개발자들이 기존 방어 체계를 악용할 수 있는 새로운 활로를 제공할 것”이라고 경고했다.

기존의 안티 악성코드 도구는 그래픽 카드와 같은 별도의 하드웨어 장치의 메모리에 저장되거나 시스템의 CPU에서 실행되지 않는 악성 코드는 검출하지 못한다고 개발자들은 밝혔다.

2013년 학술 논문에서 영감을 받은 이들은 데몬(Demon)이라는 기술검증용 리눅스 키로거를 배포했다. 또한, GPU에서 작동하는 리눅스 시스템용 루트킷인 젤리피시(Jellyfish)도 추가했다.

이 루트킷은 ABM나 엔비디아 전용 그래픽 카드와 오픈CL(Open Computing Language) 드라이버가 있어야 작동했다. 오픈CL은 GPU와 다른 유형의 프로세서를 실행하는 프레임워크다.

“리눅스뿐만 아니라 맥 OS X도 겨냥”
지난주 주요 뉴스들은 젤리피시가 리눅스 PC를 감염시킬 수 있다는 측면만 강조하는 보도를 했으며, 윈도우 또는 맥은 이러한 위협에 영향을 받지 않는다는 근거 없는 믿음을 심어줬다. 이에 익명의 개발자들은 이러한 관념이 틀렸음을 입증하는 다음 단계를 준비하고 있다.

지난주 배포된 WIN_JELLY는 엔비디아 그래픽 카드와 엔비디아 CUPA 드라이버를 설치한 윈도우 기반의 컴퓨터에서 동작한다. 엔비디아 CUPA는 개발자가 엔비디아 GPU의 프로세싱 능력을 최대한 활용할 수 있도록 하는 병렬 컴퓨팅 플랫폼이다.

소수 사용자의 PC에만 엔비디아 CUPA가 설치됐다는 점에서 단기적으로는 이와 같은 형태의 악성코드가 널리 퍼지는 데는 한계가 있을 것으로 보인다. 그러나 복잡한 소학적 계산을 위해 GPU를 사용하는 프로그램이 많아질수록 CUDA 사용자도 늘어나 피해가 점차 커질 수도 있다.

깃허브 내 개설된 젤리피시 페이지를 토대로 해본다면 이들 개발자는 맥 OS X 버전인 MAC_JELLY도 만들 계획인 것으로 보인다. 이들은 자신들의 리눅스 루트킷에 관해 설명하면서 “맥 OS X에도 오픈CL이 선탑재되고 있다”고 언급했다.

한편, 이들은 방어적인 측면에서 시스템 관리자와 보안 연구원들이 GPU 기반의 악성코드를 탐지할 수 있도록 하는 젤리스캔(JellyScan)이라는 도구도 개발하는 것으로 알려졌다. editor@itworld.co.kr 


X