상세 컨텐츠

본문 제목

리눅스/윈도우 서버에서 루비마이너 악성코드 발견

국내외 보안동향

by 알약(Alyac) 2018. 1. 16. 16:31

본문

지난주 화요일 루비마이너(RubyMiner)라는 이름의 악성코드가 발견되었습니다. 이 악성코드는 구 버전의 웹 서버를 이용해 암호화폐를 채굴합니다. 


보안 연구원에 따르면, 루미마이너 해킹 그룹은 pof라 불리는 웹서버의 핑거프린팅 툴을 이용해 구 버전의 소프트웨어를 실행하는 리눅스 및 윈도우 서버를 찾아 공격합니다.


패치되지 않은 서버가 발견되면, 공격자들은 잘 알려진 취약점을 이용해 루비마이너 악성코드를 서버에 감염시킵니다.


최근 공격에서 발견된 취약점들은 다음과 같습니다.


 

이를 통해 루비마이너 공격자들이 윈도우와 리눅스 시스템을 공격한다는 것을 알 수 있습니다.


보안업체는 공격자들의 허니팟 서버를 통해 수집한 데이터를 기반으로 하여 리눅스 시스템의 루비마이너 감염 경로를 파악했습니다.  또한 루비마이너 공격자들이 윈도우 IIS 서버를 공격한 흔적을 찾았지만, 아직 윈도우 공격 샘플은 확보하지 못한 상황이라고 밝혔습니다.


한가지 주목할 점은 공격자들이 악성 명령을 숨기기 위해 이전 공격에 사용했던 robots.txt 파일을 사용했다는 점입니다. 또한 루비 온 레일즈(Ruby on Rails) 공격에 사용된 취약점을 이용해 루비마이너 공격을 수행했습니다. 이를 통해 루비마이너 악성코드를 유포하는 공격자가 루비 온 레일즈 공격자와 동일하다는 것을 알 수 있습니다.


최근 몇 달 간 모네로를 채굴하는 악성코드를 유포하는 공격이 증가했습니다.


2017년에 발견된 모네로 채굴 악성코드에는 디그마인(Digmine), 워드프레스 사이트를 공격하는 봇넷, 헥스멘(Hexmen), 로피(Loapi), 젤롯(Zealot), 워터마이너(WaterMiner), IIS 6.0 서버를 공격하는 봇넷, 코드포크(CodeFork), 본드넷(Bondnet) 등이 있습니다.


그리고 2018년이 된지 2주도 채 지나지 않아 벌써 리눅스 서버를 공격하는 파이크립토마이너(PyCryptoMiner)와 오라클 웹로직 서버를 공격하는 해커 그룹이 발견되었습니다. 


루비마이너 공격은 대부분의 보안 시스템으로 탐지 가능한 오래된 공격을 이용한다는 특징을 갖고 있습니다. 


보안전문가는 ‘공격자가 일부러 버려진 기기(사용자가 온라인 상태로 방치한 구 버전의 컴퓨터와 서버)를 찾아 공격한 것 일수도 있다’고 설명했습니다. 또한 ‘오래 방치된 기기를 감염시킴으로써 채굴 작업을 더 오래 지속할 수 있다’고 덧붙였습니다.


지금까지 약 700대의 컴퓨터가 루비마이너에 감염되었고 이로 인해 해커들은 약 540 달러를 탈취한 것으로 추정되고 있습니다. 


만약 이 공격 그룹이 10년된 취약점 대신 최신 버전을 이용했다면 공격을 더욱 성공적으로 수행했을 것입니다.


더 많은 정보를 다음 링크를 참조하시면 됩니다.

https://research.checkpoint.com/rubyminer-cryptominer-affects-30-ww-networks/

http://www.certego.net/en/news/ruby-rce-used-to-push-monero-coinminer/


현재 알약에서는 해당 악성코드에 대하여 Misc.Riskware.BitCoinMiner.Linux로 탐지중에 있습니다.






출처 :

https://www.bleepingcomputer.com/news/security/linux-and-windows-servers-targeted-with-rubyminer-malware/

관련글 더보기

댓글 영역