포스팅 내용

국내외 보안동향

서버, 라우터, IoT 기기들을 노리는 Prowli 악성코드 발견

Prowli Malware Targeting Servers, Routers, and IoT Devices


대규모 VPNFilter 악성코드 봇넷이 발견 된 후, 연구원들은 전 세계 4만대 이상의 서버, 모뎀, IoT 기기들을 이미 손상시킨 또 다른 대규모 봇넷을 발견했습니다.


Operation Prowli라 명명 된 이 캠페인은 익스플로잇 악용, 패스워드 브루트포싱, 취약한 구성 악용 등 다양한 기술을 사용해 전 세계 서버 및 웹사이트의 제어권을 탈취하기 위해 악성코드를 배포하고 주입합니다.


Operation Prowli는 이미 금융, 교육, 정부 기관 등을 포함한 기업 9,000개 이상의 기기 4만 여대를 공격했습니다.


Prowli 악성코드에 감염 된 기기 및 서비스 목록은 아래와 같습니다:


인기 있는 웹 사이트를 호스팅하는 Drupal 및 WordPress CMS 서버

K2 확장을 실행하는 Joomla! 서버

HP Data Protector 소프트웨어를 사용하는 백업 서버

DSL 모뎀

오픈 된 SSH 포트가 있는 서버

PhpMyAdmin

NFS 박스

SMB 포트가 노출 된 서버

취약한 IoT 기기들 


위의 기기들은 모두 알려진 취약점이나 크리덴셜 추측을 통해 감염 되었습니다.



가상화폐 채굴기를 주입하는 Prowli 악성코드



<출처: https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/>


Prowli 공격의 배후에 있는 공격자들이 감염 된 기기와 웹사이트들을 가상화폐를 캐거나 악성 웹사이트로 이동시키기 위해 사용하고 있기 때문에, 연구원들은 그들이 이데올로기나 스파잉활동 보다는 그저 돈을 버는데 집중하고 있는 것으로 추정하고 있습니다.


연구원들에 따르면, 해킹 된 기기들은 모네로(XMR) 가상화폐 채굴기 및 “r2r2”웜(감염 된 기기에서 SSH 브루트포싱 공격을 실행하는 Golang으로 작성 된 악성코드)에 감염되어 있었습니다. 이로써 Prowli가 새로운 기기를 탈취할 수 있게 됩니다.


즉, “r2r2는 랜덤으로 IP 주소 블록을 생성하고 SSH 로그인을 위한 브루트포싱을 반복적으로 시도한다.”고 연구원들이 설명했습니다.


이 명령들은 하드코딩 된 원격 서버로부터의 서로 다른 CPU 아키텍쳐를 위한 웜의 복사본 다수, 가상화폐 채굴기, 구성파일을 다운로드하는 역할을 합니다.



공격자들, 사용자들이 악성 확장 프로그램을 설치하도록 속여


가상화폐 채굴기 이외에도, 공격자들은 “WSO Web Shell”이라는 잘 알려진 오픈 소스 webshell을 사용해 해킹한 서버를 수정함으로써 웹사이트의 방문자들을 악성 브라우저 확장 프로그램을 배포하는 가짜 사이트로 이동시킬 수 있게 됩니다.


연구원들은 전세계의 여러 네트워크에서 이 캠페인을 추적한 결과, Prowli 캠페인이 여러 산업들과 관련되어 있음을 확인했습니다.


“3주 동안, 우리는 다양한 국가 및 조직의 IP 180개 이상으로부터 이루어지는 이러한 공격을 하루에 수십 건 목격했습니다. 이러한 공격으로 인해, 우리는 공격자의 인프라를 조사하고 다수의 서비스를 공격하는 광범위한 작업을 발견할 수 있게 되었습니다.”



Prowli와 같은 악성코드 공격으로부터 기기를 보호하는 법


공격자는 기기를 해킹하기 위해 알려진 취약점들 및 크리덴셜 추측 공격을 사용합니다. 따라서 사용자들은 그들의 시스템을 최신버전으로 업데이트하고 기기에 강력한 패스워드를 사용해야 합니다.


또한, 사용자는 시스템을 잠그고 취약하거나 보안을 적용하기 어려운 시스템들을 네트워크의 나머지 부분과 분리하기 위해 시스템을 세분화 하는 것을 고려해야 할 것입니다.


현재 알약에서는 해당 악성코드에 대해 Trojan.Linux.Agent로 탐지중에 있습니다. 




출처 :

https://thehackernews.com/2018/06/prowli-malware-botnet.html

https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation-cryptocurrency-mining/

티스토리 방명록 작성
name password homepage