상세 컨텐츠

본문 제목

새로운 리눅스 악성코드, SambaCry 취약점 악용하여 NAS Device에 은밀히 백도어를 설치

국내외 보안동향

by 알약(Alyac) 2017. 7. 20. 16:04

본문

New Linux Malware Exploits SambaCry Flaw to Silently Backdoor NAS Devices


약 두달전, 7년동안 Samba 네트워킹 소프트웨어에 존재해 왔으며, 해당 취약점을 악용하면 공격자들은 리눅스 및 유닉스 장비들을 온전히 제어할 수 있는 치명적인 원격코드실행 취약점이 발견되었습니다. 이 취약점은 SambaCry라고 명명되었습니다. 


그리고 최근 보안 연구원들은 지난 5월 말 이 취약점이 패치 되었음에도불구하고, IoT 기기들, 특히 NAS 기기를 노리는 악성코드가 이 취약점을 현재까지도 악용하고 있다고 경고했습니다.


SambaCry가 대중에 공개된 직후, SambaCry 취약점(CVE-2017-7494)는 대부분 리눅스 환경에서 “Monero” 디지털 화폐를 채굴하는 “CPUminer” 암호화 화폐 채굴 소프트웨어에 악용 되었습니다.


하지만, 최근에 발견된 SambaCry 악성코드 캠페인은 중소 기업에서 사용하는 NAS 기기들을 노리는 것으로 나타났습니다.



SHELLBIND 악성코드, NAS 장비를 공격하기 위해 SambaCry 악용


SHELLBIND라 명명 된 이 악성코드는 MIPS, ARM, PowerPC 등 다양한 아키텍쳐에서 동작하며, Samba 퍼블릭 폴더에 shared object(.SO) 파일 형태로 SambaCry 취약점을 통해 로드 됩니다.


일단 타겟 기기에 배포 되면, 이 악성코드는 동 아프리카에 위치한 공격자의 C&C 서버와의 연결을 시작합니다. 이후 기기가 해당 서버와 통신할 수 있도록 방화벽 정책을 수정합니다.


연결이 성공적으로 시작 되면, 이 악성코드는 공격자가 감염 된 장비에 접근할 수 있는 권한을 심어주며, 기기의 open device shell을 제공해 원하는 만큼, 원하는 타입의 시스템 명령어를 모두 실행해 장비를 완전히 제어할 수 있도록 합니다.


이 취약점에 영향을 받는 Samba를 사용하는 기기를 찾기 위해, 공격자는 Shodan 검색 엔진을 사용하고 오리지널 악성 파일을 그들의 공용 폴더에 씁니다.


연구원들은 “Shodan에서 Samba를 사용하는 장치를 찾는 것은 매우 쉽습니다: ‘samba’ 문자열과 함께 포트 445를 검색하면, 가능한 IP 리스트가 나오게 됩니다.”


“이후 공격자는 모든 IP 주소에 자동으로 악성 파일을 쓰는 툴을 생성하기만 하면 됩니다. 일단 공개 폴더에 파일을 쓰기만 하면, SambaCry 취약점이 있는 기기들은 SHELLBIND의 희생양이 됩니다.”고 밝혔습니다.


하지만, 공격자들이 기기를 해킹하는 목적에 대해서는 아직 밝혀지지 않았습니다.


이 SambaCry 취약점은 악용하기가 매우 쉬우며 원격의 공격자들이 공유 라이브러리를 쓰기 가능한 공유 폴더에 업로드하고 서버가 이 악성코드를 로드 및 실행하게 하는데 사용될 수 있습니다.


Samba의 관리자들은 이 이슈를 버전 4.6.4/4.5.10/4.4.14에서 이미 패치했기 때문에, 사용자들은 최대한 빨리 이 취약점들을 패치하는 것이 좋습니다.


현재 알약에서는 해당 악성코드에 대하여 Backdoor.Linux.SambaShell, Exploit.CVE-2017-7494로 탐지중에 있습니다.




출처 : 

http://thehackernews.com/2017/07/linux-malware-sambacry.html

http://blog.trendmicro.com/trendlabs-security-intelligence/linux-users-urged-update-new-threat-exploits-sambacry/



관련글 더보기

댓글 영역