Lucifer DDoS 봇넷, 클라우드 호스트 공격해

 

 

腾讯云防火墙捕获Satan DDoS僵尸网络木马对云主机的攻击

텐센트 보안 위협 인텔리전스 센터는 공격자가 역직렬화 취약점을 통해 Satan DDoS 봇넷을 유포했으며 클라우드 호스트를 공격한 사실을 확인했다고 밝혔습니다.

 

Satan DDoS는 2020년 5월 발견 당시 고위험 취약점을 사용하여 윈도우 시스템을 공격한 것으로 알려졌으며, Satan 랜섬웨어와 구별하기 위해 Lucifer 트로이목마로 명명되었습니다.

 

하지만 최근 조사 결과, Lucifer는 클라우드 호스트에 대한 공격으로 전환하고 있는 것으로 나타났습니다.

 

공격자는 호스트를 제어하여 봇넷을 형성하고 모네로 마이닝 및 DDoS 공격을 수행하여 수익을 창출하는 것으로 밝혀졌습니다.

 

Lucifer는 이전에 주로 윈도우 시스템을 공격했으며, 기능을 추가하여 리눅스 시스템까지 공격하는 변종이 발견된 바 있습니다. 

 

Lucifer에는 DDoS 공격, 암호화폐 채굴, 백도어 기능이 있으며 공격자는 이 트로이목마가 여러 플랫폼을 지원한다고 주장합니다.

분석 결과, Lucifer는 DDoS 공격과 더불어 XMR 마이너를 동시에 다운로드하며 파일과 명령을 실행하는 백도어 기능을 가지고 있습니다.

 

Lucifer는 마이너의 데몬으로 스레드를 생성하고 마이닝 파일이나 프로세스가 존재하지 않는 것으로 감지되면 마이닝 모듈의 적절한 작동을 보호하기 위해 다시 다운로드되고 실행됩니다.

 

스레드는 자신과 이름이 같은 것으로 의심되거나 채굴 관련 프로세스로 의심되는 프로세스를 종료하여 경쟁 마이닝 트로이 목마를 제거하고 시스템 리소스를 독점합니다.

 

Lucifer는 tcp, udp, http, icmp, syn 등 다양한 트래픽 공격 모드를 갖추고 있으며 다양한 취약점을 악용하는 것으로 알려져 있습니다.

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 'Trojan.Linux.CoinMiner'로 탐지 중입니다.

 

 

 

 

출처:

https://s.tencent.com/research/report/1320.html