리눅스 서버 및 IoT 기기를 봇넷에 참여시키는 새로운 악성코드

This new malware wants to add your Linux servers and IoT devices to its botnet

 

새로운 형태의 악성코드가 리눅스 서버와 IoT 기기를 노리고 있는 것으로 나타났습니다. 이 악성코드는 위 기기를 클라우드 컴퓨팅 인프라를 노린 해킹 캠페인의 1단계로 추측되는 봇넷에 추가합니다.

 

Juniper Threat Labs의 사이버보안 연구원이 발견한 이 악성 웜은 컴포넌트 코드를 저장하는데 GitHub과 Pastebin을 사용하고, 리눅스 기반 x86 서버, Linux ARM, MIPS 기반 IoT 기기를 해킹하는데 12가지 방법을 사용하여 Gitpaste-12로 명명되었습니다.

 

위 12가지 방법에는 Asus, Huawei, Netlink 라우터 및 MongoDB, Apache Struts의 알려진 취약점 11개, 그리고 일반적인 ID 및 비밀번호를 입력하여 시스템을 해킹하는 기술인 브루트포싱이 포함됩니다.

 

Gitpaste-12는 위 취약점 중 하나를 사용하여 시스템을 해킹한 후 Pastebin에서 명령 제공을 위한 스크립트를 다운로드하고, Github 저장소에서 추가 지침을 다운로드합니다.

 

이 악성코드의 목표는 방화벽, 모니터링 소프트웨어 등의 방어 장치의 스위치를 끄는 것입니다.

 

또한 Gitpaste-12는 알리바바 클라우드, 텐센트를 포함한 중국의 주요 인프라 제공 업체의 클라우드 보안 서비스를 비활성화 하는 명령을 포함하고 있습니다. 이로써 해당 봇넷이 공격자의 대규모 다단계 공격의 1단계라 추측할 수 있습니다. 이 공격의 최종 목적은 아직까지 알 수 없는 상태입니다.

 

하지만, 이 악성코드는 해킹된 시스템의 컴퓨팅 능력을 악용하여 공격자가 모네로 가상 화폐를 채굴하는 행위인 ‘크립토마이닝’을 실행할 수 있는 기능을 갖추고 있습니다.

 

또한 이 봇넷은 악성코드를 복제 및 확산시킬 목적으로 동일한 네트워크, 연결된 네트워크 내 다른 취약한 기기에 스크립트를 실행하기 위해 해킹된 기기를 사용하는 웜의 기능도 포함하고 있습니다.

 

연구원들은 블로그에서 아래와 같이 언급했습니다.

 

“모든 악성코드는 나쁘지만, 웜은 특히 더 성가십니다. 이는 확산을 자동화하여 인터넷을 통해 조직이나 호스트의 다른 네트워크로 확산시키려 시도할 것입니다.”

 

해당 Pastebin URL과 GitHub 저장소는 연구원의 제보 이후 모두 종료되었으며, 당분간 봇넷의 확산을 저지할 수 있을 것입니다. 하지만 연구원들은 Gitpaste-12는 아직까지 개발 중이며, 곧 다시 돌아올 수 있다고 밝혔습니다.

 

하지만 Gitpaste-12가 악용하는 취약점을 수정하는 보안 패치를 적용하면 공격을 예방할 수 있습니다.

 

또한 브루트포싱 공격을 방어하기 위해 IoT 기기에 기본 비밀번호를 사용하지 않는 것이 좋습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Misc.Riskware.BitCoinMiner.Linux’로 탐지 중입니다.

 

 

 

 

출처:

https://www.zdnet.com/article/this-new-malware-wants-to-add-your-linux-servers-and-iot-devices-to-its-botnet/

https://blogs.juniper.net/en-us/threat-research/gitpaste-12