상세 컨텐츠

본문 제목

CVE-2019-3396 악용하는 AESDDoS 봇넷 악성코드 발견

국내외 보안동향

by 알약(Alyac) 2019. 4. 29. 14:10

본문

AESDDoS Botnet Malware Exploits CVE-2019-3396 to Perform Remote Code Execution, DDoS Attacks, and Cryptocurrency Mining


Trend Micro 측의 허니팟이 최근 AESDDoS 봇넷 악성코드 변종이 아틀라시안 컨플루언스(Atlassian Confluence) 서버의 위젯 커넥터 매크로에 존재하는 서버 측 템플릿 인젝션 취약점(CVE-2019-3396)을 악용하고 있는 것을 탐지했습니다.


아틀라시안 컨플루언스 서버는 DevOps 전문가들이 사용하는 공동 작업 소프트웨어 프로그램입니다.


연구원들은 이 변종 악성코드가 취약한 컨플루언스 서버와 데이터 센터 버전을 실행하는 시스템에서 DDoS 공격, 원격 코드 실행, 가상 화폐 마이닝을 수행하는 것을 발견했습니다. 


아틀라시안은 해당 문제를 수정했으며, 사용자들에게 최신 버전(6.15.1)으로 업그레이드할 것을 권고했습니다.


버전군

 영향을 받는 버전

 수정 된 버전

 6.6.x

 6.6.0 – 6.6.11

 6.6.12 및 이후 버전

 6.12.x

 6.7.0 – 6.12.2

 6.12.3 및 이후 버전

 6.13.x

 6.13.0 – 6.13.2

 6.13.3 및 이후 버전

 6.14.x

 6.14.0 – 6.14.1

 6.14.2 및 이후 버전

[표 1] 아틀라시안 컨플루언스 서버, 데이터 센터의 취약한 버전 및 수정된 버전

<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/aesddos-botnet-malware-exploits-cve-2019-3396-to-perform-remote-code-execution-ddos-attacks-and-cryptocurrency-mining/>


AESDDoS 봇넷 악성코드 변종 검사


연구원들은 공격자가 사용자 기기를 AESDDoS에 감염시키기 위해 CVE-2019-3396를 악용한 것을 확인했습니다. 


원격으로 쉘 명령을 실행하여, 악성 쉘 스크립트 (Trojan.SH.LODEX.J)를 다운로드 및 실행했습니다.


해당 작업 이후 또 다른 쉘 스크립트(Trojan.SH.DOGOLOAD.J)를 다운로드하고, 이 스크립트는 마침내 AESDDoS 봇넷 악성코드를 시스템에 설치합니다.


AESDDoS 변종은 SYN, LSYN, UDP, UDPS, TCP flood 등 여러 종류의 DDoS 공격을 실행할 수 있습니다. 


또한 공격자에게 원격 쉘 명령을 전송하거나 수신하기 위해 23[.]224[.]59[.]34:48080에 연결합니다.


이 봇넷 악성코드는 시스템 모델 ID 및 CPU 속도, 제품군, 모델, 유형 등의 감염 시스템 정보를 탈취할 수도 있습니다. 


탈취한 시스템 정보 및 C&C 데이터는 AES 알고리즘을 통해 암호화됩니다. 


이후 이 정보들은 AESDDoS 변종의 cmdshell 기능과 함께 사용되어 취약한 기기에 가상 화폐 채굴기를 로드할 수 있습니다.


위에서 언급한 기능 이외에도, AESDDoS 변종은 파일 변조도 가능합니다. 


예를 들어, {악성코드 경로}/{악성코드 파일 이름} 리부팅 명령어를 첨부하고, 자동 시작하기 위해 아래와 같은 파일을 수정할 수 있습니다.

- /etc/rc.local

- /etc/rc.d/rc.local


보안 권고 사항


서버, 데이터 센터 및 기타 컴퓨팅 환경에서 보안 위험을 발견하기 위해, 소프트웨어의 지속적인 모니터링이 필요합니다. 


CVE-2019-3396 취약점으로 아틀라시안 컨플루언스 서버가 악용될 경우 리소스가 위험에 처할 수 있습니다.


기업들은 해당 취약점과 관련된 최신 위협 정보를 확인하고, 프로그램의 설계 및 이를 호스팅하는 인프라에서 악의적인 변조를 탐지해낼 수 있어야 합니다.


현재 알약에서는 해당 랜섬웨어에 대해 Backdoor.Linux.Dofloo, Trojan.Downloader.Linux으로 탐지 중에 있습니다.



출처:

https://www.scmagazine.com/home/security-news/flaw-in-confluence-collaboration-products-exploited-to-deliver-gandcrab-aesddos-botnet-malware/

https://www.bleepingcomputer.com/news/security/vulnerable-confluence-servers-get-infected-with-ransomware-trojans/

https://blog.trendmicro.com/trendlabs-security-intelligence/aesddos-botnet-malware-exploits-cve-2019-3396-to-perform-remote-code-execution-ddos-attacks-and-cryptocurrency-mining/

https://confluence.atlassian.com/doc/confluence-security-advisory-2019-03-20-966660264.html

관련글 더보기

댓글 영역