SkidMap 악성코드, Redis 무단 액세스 취약점 악용해

 

 

SkidMap病毒利用Redis未授权访问漏洞攻击，数千台云主机沦为矿机

SkidMap 악성코드가 Redis 무단 액세스 취약점을 이용하여 클라우드 호스트에 침입하는 것으로 나타났습니다.

2019년 9월 발견된 Skidmap은 탐지를 피하기 위해 커널 모드 루트킷을 활용하는 리눅스 가상화폐 마이너입니다.

SkidMap 악성코드는 감염 후 XMRig(모네로 마이닝 트로이목마), cpuminer(라이트코인 및 비트코인 마이닝 트로이목마)를 다운로드하여 이익 창출을 목표로 합니다. 

또한 감염된 호스트에 대한 원격 제어를 유지하기 위해 SSH 백도어 공개키를 추가합니다. 그리고 악성 프로그램 패키지 gold8[.]tar[.]gz를 다운로드하여 여러 모듈을 해제하고 채굴 과정을 완료합니다.

SkidMap와 다른 마이너의 구별되는 특징은 악성 행위를 숨기기 위해 리눅스를 로드하여 탐지를 어렵게 하는 점입니다. 

SkidMap은 보다 복잡한 기능을 가진 악성 소프트웨어를 다운로드하고 시스템 감사 로그 삭제, 서비스 설치 등의 원격 명령을 수행할 수도 있습니다. 

Tencent Security는 최근 Tencent Cloud의 방화벽 경고 메시지를 받았으며 공격자가 Redis 무단 액세스 취약점을 악용하여 클라우드 서버를 공격했다는 고객의 신고를 받았습니다. 

Tencent의 보안 연구원들은 고객의 동의를 얻어 관련 정보에 추적 조사를 수행했으며, 이것이 SkidMap 악성코드 변종의 공격 활동이라고 판단했습니다. 

위협 인텔리전스 데이터를 기반으로 한 조사에서 이번 공격이 약 수천 개의 클라우드 호스트에 영향을 미쳤다는 사실이 밝혀졌습니다. 

공격자가 침입에 성공하면 브로일러 시스템 내 여러 곳에 백도어를 두고 3가지 유형의 가상화폐 채굴 작업을 동시에 진행해 클라우드 호스트의 정상 운영에 심각한 악영향을 미칠 것으로 보입니다.

또한 공격자에 의해 피해자의 호스트가 제어되어 채굴 시스템으로 전환되면 기밀 정보가 유출될 위험도 따릅니다. 

이에 보안 전문가들은 해커들이 트로이목마를 사용하여 채굴 작업을 할 수 있는 만큼, 정부 및 기업 사용자는 보안 취약점을 적극적으로 수정하여 공격에 대비할 것을 권장했습니다.

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 'Trojan.Linux.Shell', 'Trojan.Linux.CoinMiner', 'Trojan.Linux.Skidmap' 등으로 탐지 중입니다. 

 

 

 

 

 

출처:

https://s.tencent.com/research/report/1304.html