GoScanSSH 악성코드, 정부와 군사 네트워크를 제외하고 배포 돼

GoScanSSH Malware spread avoiding Government and Military networks

보안 전문가들이 온라인에 노출 된 SSH 서버를 손상시키는 새로운 악성코드인 GoScanSSH를 발견했습니다.

이 악성코드는 악성 프로그램에는 잘 사용 되지 않는 Go 프로그래밍 언어를 사용해 개발되었으며, 정부 및 군사 네트워크는 감염시키지 않는 등의 다양한 기능이 구현되어 있습니다. 

공격자들은 감염 된 시스템마다 고유한 악성코드를 생성했습니다. 또한 GoScanSSH의 C&C 인프라는 Tor2Web 프록시 서비스를 사용해 서버 추적을 어렵게 하고 사용이 중단 되더라도 복원이 쉽도록 했습니다.

GoScanSSH는 공개적으로 접근 가능하고 패스워드 기반의 SSH 인증이 가능한 SSH 서버들에 브루트포싱 공격을 실시합니다. 해커들은 7000개의 계정/패스워드 조합이 포함 된 목록을 사용합니다. 유효한 계정 정보를 발견할 경우, 고유한 GoScanSSH 악성코드 바이너리가 생성 되며 손상 된 SSH 서버에 업로드 및 실행 됩니다.

GoScanSSH는 취약한 SSH 서버를 검색할 때 특수 용도 주소 사용을 피하고 랜덤으로 IP 주소를 생성하여 사용합니다. 이후 CIDR block 목록과 각각의 IP주소를 비교하여 매칭 될 경우 스캔을 시도하지 않습니다. 이는 정부와 군사의 네트워크를 피하기 위함입니다.

이 악성코드는 특히 미 국방부에 등록 된 IP주소를 피하는 것으로 나타났습니다. 또한, 전문가들은 해당 리스트의 네트워크 목록 중 한국의 한 조직에 할당 된 주소들도 발견했습니다.

연구원들은 GoScanSSH 악성코드 패밀리와 관련 된 샘플들을 70개 이상 발견했습니다. 또한 x86, x86_64, ARM, MIPS64 등 시스템 다수를 지원하도록 컴파일 된 샘플들도 발견 했습니다.

전문가들은 또한 해당 악성코드의 여러 버전이 실제로 사용되고 있는 것을 발견했습니다. 이는 공격자들이 해당 악성코드를 지속적으로 개선시키고 있음을 나타냅니다.

<이미지: http://blog.talosintelligence.com/2018/03/goscanssh-analysis.html>

연구원들은 공격자들이 더 큰 네트워크를 침해하려 시도하고 있는 것으로 보이며, 이에 충분한 기술과 자원을 보유한 것으로 추측하고 있습니다.

이들은 2017년 6월부터 활동 중이었으며, 이미 C&C 250곳을 사용하는 GoScanSSH 악성코드의 버전 70개를 배포했습니다.

현재 알약에서는 해당 악성코드에 대하여 Trojan.Linux.GoScanSSH로 탐지중에 있습니다. 

출처 :

https://securityaffairs.co/wordpress/70681/malware/goscanssh-malware.html

http://blog.talosintelligence.com/2018/03/goscanssh-analysis.html