Sandfly 5.5.4 - 중국 루트킷 은폐 해제
2025년 9월 28일
제품 업데이트
Sandfly 5.5.4는 최근 공개된 한국을 대상으로 한 중국 스텔스 루트킷의 은폐를 더욱 강력하게 해제할 수 있습니다. 또한 레거시 장치 지원을 확대하고 드리프트 탐지에 영향을 미치는 버그를 수정했습니다.
중국 커널 모듈 루트킷 은폐 해제
최근 공개된 중국의 Linux 스텔스 루트킷(블로그 포스트 참조)은 이번 5.5.4 릴리스에서 추가적인 탐지 기회를 제공했습니다. 특히, 이전 버전에서도 이 루트킷을 찾는 데 문제가 없었지만, 이제 영향을 받는 호스트에서 숨겨진 모듈을 완전히 은폐 해제할 수 있는 기능을 추가했습니다.
새로운 탐지 모듈은 _kernel_module_vmalloc_artifact_라고 명명되었으며, 이 루트킷과 변종(예: Reptile)에서 스스로를 숨긴 커널 모듈을 찾아냅니다. 이러한 방법으로 숨겨진 모듈이 발견되면 경고를 발생시키고 보안 팀이 조사할 수 있도록 숨어있는 모듈 이름을 알려줍니다. 아래에서 호스트에서 기본 이름 _vmwfxs_를 사용하는 루트킷을 볼 수 있습니다.
이 새로운 탐지는 이미 배포된 다른 탐지 기능과 결합되어 이 루트킷이 호스트에서 작동 중일 때 매우 명확하게 드러납니다. 아래는 백도어 활성화를 기다리는 유휴 모드의 활성 루트킷에서 생성되는 경고입니다.
레거시 장치 지원 확대
Sandfly는 업계에서 가장 광범위하고 완전한 Linux 지원 범위를 제공합니다. 이번 릴리스를 통해 10년 이상 된 장치를 포함한 더 많은 임베디드 장치로 지원을 확대하고 있습니다. Sandfly 5.5.4를 사용하면 이제 Dropbear SSH를 실행하는 레거시 및 최신 장치와 더 많은 ARM 프로세서를 지원합니다.
드리프트 탐지 버그 수정
드리프트 탐지 프로필에서 경고가 실수로 알려진 정상 프로필에 추가될 수 있는 버그를 수정했습니다. 이 버그는 사용자가 유효한 경고를 가지고 있지만 프로필에 추가할 비경고 항목을 선택한 경우 발생했습니다. 이 경우 유효한 경고가 알려진 정상 프로필에 추가되어 무시될 수 있었습니다. 이것은 대부분의 사용자가 경험하지 않는 특수한 상황이지만, 이 문제의 영향을 받은 경우 드리프트 프로필을 다시 구축하는 것이 좋습니다.
새로운 Linux 배포판의 오탐지
Debian 13과 같은 새로운 Linux 배포판에서 누락된 레거시 로그 파일과 관련된 오탐지를 해결했습니다. 이러한 변경 사항은 최신 Linux 시스템에서 더 정확한 탐지를 보장합니다.
Sandfly 업그레이드
Sandfly 5.5.4는 중요한 새로운 탐지 기능을 제공합니다. 중국 루트킷에 대한 새로운 은폐 해제 기능은 모든 고객, 특히 정교한 위협에 직면한 조직에 중요합니다. 업그레이드를 강력히 권장합니다.
새로운 기능과 능력에 대한 문서를 확인하시기 바랍니다:
업그레이드를 원하는 고객은 여기의 지침을 따르세요:
무료 체험
Sandfly의 강력한 에이전트리스 Linux 보안을 직접 경험해보세요. 14일 무료 체험을 시작하실 수 있습니다:
