포스팅 내용

국내외 보안동향

리눅스 악성코드, 해킹 된 IoT 기기들을 이용해 스팸 이메일 발송

Linux Trojan Using Hacked IoT Devices to Send Spam Emails


리눅스 기반의 IoT 기기들을 감염시키는 Mirai와 같은 봇넷들은 지속적으로 증가하고 있으며 주로 DDoS 공격을 실행하기 위해 설계 되었지만, 연구원들은 범죄자들이 이 봇넷을 대량 스팸 메일을 보내는데 사용하고 있는 것을 발견했습니다.


연구원들은 사이버 범죄자들이 그들의 온라인 익명성을 보장하는데 사용한 Linux.ProxyM이라 명명 된 리눅스 악성코드가 최근 수익을 올리기 위해 대량 이메일 발송 기능을 추가하는 업데이트를 했다고 밝혔습니다.


Linux.ProxyM 리눅스 악성코드는 올해 2월 처음 발견 되었으며, 감염 된 IoT 기기에서 SOCKS 프록시 서버를 운영하며 멀웨어 연구원들이 숨겨둔 허니팟(honeypots)을 탐지해내는 기능이 있습니다.


Linux.ProxyM은 라우터, 셋탑박스, x86, MIPS, PowerPC, MIPSEL, ARM, Motorola 68000, Superh, SPARC 등을 사용하는 기타 장비들을 포함한 거의 모든 리눅스 기기에서 작동합니다.


이 리눅스 악성코드가 동작 하는 법


일단 Linux.ProxyM에 감염 되면, 기기는 C&C 서버에 연결하고 두 개의 인터넷 노드 주소를 다운로드 합니다.


첫 번째 노드는 계정 및 패스워드의 리스트를 제공합니다.

두 번째 노드는 SOCKS 프록시 서버를 운영하는데 필요합니다.


이 C&C 서버는 SMTP 서버 주소, 여기에 접근하는데 사용 되는 크리덴셜, 이메일 주소 목록, 다양한 성인 컨텐츠 사이트들을 홍보하는 내용의 메시지 템플릿을 포함한 명령어를 보냅니다.


이 악성코드에 감염 된 기기들이 보내는 일반적인 이메일에는 아래와 같은 메시지가 포함 되어 있습니다:


Subject: Kendra asked if you like hipster girls

A new girl is waiting to meet you.

And she is a hottie!

Go here to see if you want to date this hottie

(Copy and paste the link to your browser)

http://whi*******today.com/

Check out sexy dating profiles

There are a LOT of hotties waiting to meet you if we are being honest!


감염 된 기기들은 평균적으로 하루에 400통의 이메일을 보냅니다.


이 악성코드에 감염 된 기기들이 총 몇 대인지는 아직 밝혀지지 않았지만, 연구원들은 이 수치가 수개월 동안 변동이 있었다고 추측하고 있습니다.


지난 30일동안 실행 된 Linux.ProxyM 공격을 통해 감염 된 기기들 중 대 다수는 브라질과 미국에 이어 러시아, 인도, 멕시코, 이탈리아, 터키, 폴란드, 프랑스, 아르헨티나 순으로 위치하고 있었습니다.


연구원들은 “리눅스 악성코드들이 구현한 기능의 범위는 미래에 더욱 확장 될 것이라 추측하고 있습니다. IoT 기기들은 오랫동안 사이버 범죄자들의 타겟이 되어왔습니다. 다양한 하드웨어 아키텍쳐들을 감염시킬 수 있는 악성 리눅스 프로그램들이 광범위하게 배포되고 있는 것이 그 증거입니다.”고 밝혔습니다.


현재 알약에서는 해당 악성코드에 대하여 Backdoor.Linux.Mirai로 탐지중에 있습니다. 






출처 :

http://thehackernews.com/2017/09/linux-malware-iot-hacking.html



티스토리 방명록 작성
name password homepage