리눅스 봇넷 2개, 이미 Log4j의 Log4Shell 취약점 악용 중

Two Linux botnets already exploit Log4Shell flaw in Log4j

 

NetLab 360의 연구원들이 그들의 Anglerfish 및 Apacket 허니팟이 Log4j 라이브러리의 Log4Shell 취약점을 촉발시키려 시도하는 공격을 받았다고 밝혔습니다. 해당 공격은 Linux 기기를 노리는 Muhstik 및 Mirai 봇넷이 수행했습니다.

 

연구원들이 발견한 공격을 수행한 Mirai 변종은 초기 코드와 비교했을 때 아래 사항이 변경되었습니다:

 

1. table_init/table_lock_val/table_unlock_val 및 기타 mirai 관련 구성 관리 기능이 제거됨

2. attack_init 함수를 버리고 ddos ​​공격 함수는 명령 처리 함수에 의해 직접 호출됨

 

공격자들은 C2 인프라에 흔하지 않은 uy 최상위 도메인을 사용했습니다.

 

공격에 사용된 Muhstik 변종에는 서버에 대한 원격 연결을 허용하는 SSH 백도어 공개 키를 추가하는 백도어 모듈인 ldm이 포함됩니다.

 

공격자는 ~/.ssh/authorized_keys 파일에 공개 키를 추가한 후 암호 인증 없이 원격 서버에 직접 로그인할 수 있었습니다.

 

전문가들은 Muhstik이 보고 메커니즘에 TOR 네트워크를 사용한다고 지적했습니다.

 

"TOR 네트워크에 액세스하기 전, Muhstik은 공개적으로 사용 가능한 DoH 서비스를 통해 relay.l33t-ppl.inf를 쿼리합니다. 이 과정에서 많은 DNS 요청이 생성됩니다.”

 

전문가는 네트워크에서 DoH를 사용하지 않는 경우 DoH 서비스 공급자 목록에 대한 연결을 확인하여 감염 여부를 확인할 수 있습니다.

 

ELF 샘플을 분석한 결과, 이는 DDoS 및 백도어 명령을 지원하는 것으로 나타났습니다.

 

“Log4j 취약점의 엄청난 영향을 고려할 때 더 많은 봇넷이 이를 악용하여 확산될 것으로 예상합니다.”

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125562/malware/linux-botnets-log4shell-flaw.html

https://blog.netlab.360.com/threat-alert-log4j-vulnerability-has-been-adopted-by-two-linux-botnets/