새롭게 진화한 Abcbot DDoS 봇넷, 리눅스 시스템 노려

New evolving Abcbot DDoS botnet targets Linux systems

 

Qihoo 360의 Netlab 보안 팀 연구원들이 리눅스 시스템을 노려 분산 서비스 거부(DDoS) 공격을 실행하는 새로운 봇넷인 ‘Abcbot’을 발견했습니다. 이 보안 회사는 현재까지 봇넷 총 6가지 버전을 분석했습니다.

 

2021년 7월 14일, 이 전문가들은 리눅스 시스템을 대규모로 스캔하는 알려지지 않은 ELF 파일을 확인했으며, 분석 결과 이는 Go 언어로 구현한 스캐너인 것으로 나타났습니다.

 

연구원들을 Abcbot이라는 이름을 소스 경로의 "abc-hello"에서 따왔습니다.

 

 

<이미지 출처 : https://blog.netlab.360.com/abcbot_an_evolving_botnet_en/>

 

 

Abcbot의 소스 경로에 "dga.go" 문자열이 있다는 것은, 제작자가 후속 버전에서 DGA를 구현할 것임을 나타냅니다.

 

이 악성코드의 초기 버전은 매우 단순했으며, 최신 버전(2021년 10월 30일)은 공통 데이터베이스와 웹 서버를 노리며 취약한 비밀번호와 N-day 취약점을 악용해 웜과 유사한 전파 방식을 구현했습니다.

 

"Abcbot의 초기 버전은 비교적 단순했으며, 웜과 유사한 전파 방식을 사용하고 취약한 패스워드 및 Nday 취약점을 악용해 리눅스 시스템을 공격하는 스캐너였습니다."

 

“시간이 지남에 따라 Abcbot은 계속해서 발전했으며, 예상한 대로 후속 샘플에 DGA 기능을 추가했습니다. 현재 Abcbot은 자체 업데이트, 웹 서버 설정, laughing DDoS, 웜과 같은 전파 기능을 갖추고 있습니다.”

 

이 악성코드 패밀리의 공격 체인에 사용된 컴포넌트는 지난 10월 Trend Micro가 분석했습니다. 연구원들은 보고서를 통해 암호화폐 채굴기를 배포하기 위해 Huawei Cloud에 실행하는 공격에 대해 자세히 설명했습니다.

 

악성코드가 대상 시스템에 설치되면, 시스템 정보를 C2 서버에 보고 후 열린 포트를 검색하여 다른 장치를 감염시키고 봇마스터가 새로운 기능을 추가할 때 자체적으로 업데이트합니다.

 

Abcbot는 port 26800에서 수신 대기 중인 감염된 시스템에서 WebServer를 시작하기 위해 은 "abc_hello_web_StartServer" 기능을 사용합니다. 2021년 10월 21일 운영자는 DDoS 기능을 지원하는 오픈 소스 ATK 루트킷을 추가하는 업데이트를 푸시했습니다. 하지만 운영자가 자체 DDoS 기능을 구현했기 때문에 2021년 10월 30일 새로운 업데이트로 대체되었습니다.

 

연구원들은 아래와 같이 결론을 지었습니다.

 

"이 6개월 동안의 업데이트 프로세스는 기능의 지속적인 업그레이드라기보다는 서로 다른 기술 간의 절충안이라 볼 수 있습니다."

 

“Abcbot은 유아기에서 성숙기로 천천히 발전하고 있습니다. 우리는 이 단계가 끝이라 생각하지 않으습니다. 분명히 이 단계서도 개선되어야할 영역이나 기능이 많이 보입니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/124542/security/abcbot-ddos-botnet-linux.html

https://blog.netlab.360.com/abcbot_an_evolving_botnet_en/ (IoC)