상세 컨텐츠

본문 제목

Log4J를 악용하고 DNS 터널링으로 통신하는 새로운 리눅스 봇넷 발견

국내외 보안동향

by 알약4 2022. 3. 16. 14:00

본문

New Linux botnet exploits Log4J, uses DNS tunneling for comms

 

최근 Linux 시스템을 노려 민감 정보를 훔치고, 루트킷을 설치하고, 리버스 셸을 생성하고, 웹 트래픽 프록시 역할을 하는 봇넷에 사용자의 시스템을 추가하려 시도하는 활발히 개발 중인 봇넷이 발견되었습니다.

 

Qihoo 360360 Netlab의 연구원들이 새로이 발견한 악성코드인 B1txor20Linux ARM, X64 CPU 아키텍처 기기를 공격하는데 중점을 두고 있습니다.

 

해당 봇넷은 Log4J 취약점을 노린 익스플로잇을 통해 새로운 호스트를 감염시킵니다. 공급 업체 수십 곳이 취약한 Apache Log4j 로깅 라이브러리를 사용하는 것으로 미루어 볼 때, 이는 매우 매력적인 공격 벡터입니다.

 

연구원들은 2 9일 첫 번째 샘플이 허니팟 시스템 중 하나에서 발견되어 B1txor20 봇넷을 처음으로 발견했습니다.

 

이들은 백도어, SOCKS5 프록시, 악성코드 다운로드, 데이터 도용, 임의 명령 실행, 루트킷 설치 기능을 포함한 악성코드 샘플 총 4개를 발견했습니다.

 

DNS 터널링으로 C2 통신 트래픽 숨겨

 

하지만 B1txor20 악성코드가 더욱 눈에 띄는 이유는 명령 및 제어 서버와의 통신 채널에 DNS 터널링을 사용한다는 점입니다. 이는 공격자가 DNS 프로토콜을 악용하여 DNS 쿼리를 통해 악성코드와 데이터를 터널링하는 데 사용하는 기술로, 오래되었지만 여전히 안정적입니다.

 

연구원들은 아래와 같이 설명했습니다.

 

"봇은 훔친 특정 인코딩 기술을 통해 민감 정보, 명령 실행 결과, 전달해야 할 기타 정보를 숨긴 후 DNS 요청을 통해 C2에 전송합니다.”

 

"요청을 받은 후, C2 DNS 요청에 대한 응답으로 봇 측에 페이로드를 전송합니다. 이러한 방식으로 봇과 C2 DNS 프로토콜의 도움을 받아 통신합니다.”

 

또한 연구원들은 악성코드의 개발자가 더욱 많은 기능을 개발했지만, 모든 기능이 활성화된 상태는 아니라 밝혔습니다.

 

이로써 비활성화된 기능에는 여전히 버그가 존재하고, 제작자는 향후 이를 사용하기 위해 여전히 기능을 개선하고 있다고 추측해볼 수 있습니다.

 

해당 악성코드에 대한 추가 정보는 360 Netlab 보고서에서 확인하실 수 있습니다.

 

 

<이미지 출처 : https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/>

<B1txor20 DNS 터널링 통신>

 

 

봇넷, 지속적으로 Log4J 악용해

 

Log4Shell 익스플로잇이 공개된 이후 여러 공격자가 공격에 이를 사용했습니다. 중국, 이란, 북한, 터키 정부와 연결된 정부의 지원을 받는 해킹 그룹 및 랜섬웨어 그룹이 사용하는 갱이 사용하는 액세스 브로커가 여기에 포함됩니다.

 

지난 12월에는 한 공격자가 취약한 Linux 장치를 Mirai,  Muhstik Linux 악성코드에 감염시키기 위해 Log4J 보안 취약점을 악용하는 것이 발견되었습니다.

 

이러한 봇넷은 IoT 장치 및 서버를 "고용"하여 크립토마이너를 배포하고 대규모 DDoS 공격을 실행합니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-linux-botnet-exploits-log4j-uses-dns-tunneling-for-comms/

https://blog.netlab.360.com/b1txor20-use-of-dns-tunneling_en/ (IOC)

관련글 더보기

댓글 영역