상세 컨텐츠

본문 제목

리눅스 서버 및 IoT 기기를 봇넷에 참여시키는 새로운 악성코드

국내외 보안동향

by 알약4 2020. 11. 10. 09:00

본문

This new malware wants to add your Linux servers and IoT devices to its botnet

 

새로운 형태의 악성코드가 리눅스 서버와 IoT 기기를 노리고 있는 것으로 나타났습니다. 이 악성코드는 위 기기를 클라우드 컴퓨팅 인프라를 노린 해킹 캠페인의 1단계로 추측되는 봇넷에 추가합니다.

 

Juniper Threat Labs의 사이버보안 연구원이 발견한 이 악성 웜은 컴포넌트 코드를 저장하는데 GitHubPastebin을 사용하고, 리눅스 기반 x86 서버, Linux ARM, MIPS 기반 IoT 기기를 해킹하는데 12가지 방법을 사용하여 Gitpaste-12로 명명되었습니다.

 

12가지 방법에는 Asus, Huawei, Netlink 라우터 및 MongoDB, Apache Struts의 알려진 취약점 11, 그리고 일반적인 ID 및 비밀번호를 입력하여 시스템을 해킹하는 기술인 브루트포싱이 포함됩니다.

 

Gitpaste-12는 위 취약점 중 하나를 사용하여 시스템을 해킹한 후 Pastebin에서 명령 제공을 위한 스크립트를 다운로드하고, Github 저장소에서 추가 지침을 다운로드합니다.

 

이 악성코드의 목표는 방화벽, 모니터링 소프트웨어 등의 방어 장치의 스위치를 끄는 것입니다.

 

또한 Gitpaste-12는 알리바바 클라우드, 텐센트를 포함한 중국의 주요 인프라 제공 업체의 클라우드 보안 서비스를 비활성화 하는 명령을 포함하고 있습니다. 이로써 해당 봇넷이 공격자의 대규모 다단계 공격의 1단계라 추측할 수 있습니다. 이 공격의 최종 목적은 아직까지 알 수 없는 상태입니다.

 

하지만, 이 악성코드는 해킹된 시스템의 컴퓨팅 능력을 악용하여 공격자가 모네로 가상 화폐를 채굴하는 행위인 크립토마이닝을 실행할 수 있는 기능을 갖추고 있습니다.

 

또한 이 봇넷은 악성코드를 복제 및 확산시킬 목적으로 동일한 네트워크, 연결된 네트워크 내 다른 취약한 기기에 스크립트를 실행하기 위해 해킹된 기기를 사용하는 웜의 기능도 포함하고 있습니다.

 

연구원들은 블로그에서 아래와 같이 언급했습니다.

 

모든 악성코드는 나쁘지만, 웜은 특히 더 성가십니다. 이는 확산을 자동화하여 인터넷을 통해 조직이나 호스트의 다른 네트워크로 확산시키려 시도할 것입니다.”

 

해당 Pastebin URLGitHub 저장소는 연구원의 제보 이후 모두 종료되었으며, 당분간 봇넷의 확산을 저지할 수 있을 것입니다. 하지만 연구원들은 Gitpaste-12는 아직까지 개발 중이며, 곧 다시 돌아올 수 있다고 밝혔습니다.

 

하지만 Gitpaste-12가 악용하는 취약점을 수정하는 보안 패치를 적용하면 공격을 예방할 수 있습니다.

 

또한 브루트포싱 공격을 방어하기 위해 IoT 기기에 기본 비밀번호를 사용하지 않는 것이 좋습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Misc.Riskware.BitCoinMiner.Linux’로 탐지 중입니다.

 

 

 

 

출처:

https://www.zdnet.com/article/this-new-malware-wants-to-add-your-linux-servers-and-iot-devices-to-its-botnet/

https://blogs.juniper.net/en-us/threat-research/gitpaste-12


관련글 더보기

댓글 영역