포스팅 내용

국내외 보안동향

리눅스 Redis NoSQL 데이터베이스 서버, Linux.Lady 암호화 트로이목마에 감염될 위험성 발견

리눅스 Redis NoSQL 데이터베이스 서버, Linux.Lady 암호화 트로이목마에 감염될 위험성 발견

Linux Redis NoSQL database servers at risk from Linux.Lady crypto Trojan


인기있는 Redis NoSQL 데이터베이스에서 암호화 화폐를 채굴하는 트로이목마 Linux.Lady가 발견되었습니다. 이에 따라 최대 30,000대의 Redis 서버들이 취약할 것으로 예상되어, 기업 사용자의 각별한 주의가 필요합니다.


관련 내용은 보안의식이 부족한 시스템 관리자가 Redis 서버에 패스워드를 설정하지 않고, 기본적인 보안 수칙을 따르지 않은 채 이를 온라인상에 공개하여 발생한 것으로 예상됩니다.


Linux.Lady는 러시아 안티바이러스 소프트웨어 회사인 Dr Web이 발견했습니다. 특이한 점은 이것이 구글의 Go 프로그래밍 언어로 작성되었으며, GitHub에서 운영되는 많은 오픈소스 Go 라이브러리들을 사용한다는 것입니다.


해당 악성코드는 감염된 후 더욱 작은 트로이목마인 Linux.Downloader.196을 사용하여 메인 페이로드를 다운로드합니다. Linux.Lady가 설치 및 실행되면, 해킹된 시스템에 대한 기본 정보를 C&C 서버로 전송합니다.


감염 프로세스의 다음 단계는 C&C 서버에서 전송된 환경설정 파일이 공격자를 위해 가상화폐 채굴 프로세스를 시작하는 것입니다. 또한 Linux.Lady는 자기 자신을 번식시킬 수 있는 특징을 갖고 있습니다.


연구원들은 해당 악성코드가 감염된 컴퓨터에 대한 정보를 수집하여 C&C 서버로 보내고, 가상화폐 채굴 유틸리티를 다운로드 및 실행하며, 네트워크 내 다른 컴퓨터들을 공격해 자기 자신의 복사본을 설치할 수 있다고 밝혔습니다.


이것이 일단 실행되면 해당 트로이목마는 시스템에서 키를 확인하며, 아래의 요소들이 없을 경우 자기 자신을 종료시킵니다.


버전: 트로이목마의 버전을 표시하고 세션을 종료시킴

설치: 트로이목마 설치

D: 트로이목마의 메인 페이로드 실행


해당 트로이목마로 인해 해킹된 Redis 데이터베이스 서버는 이미 낮은 수준의 보안으로 인해 문제가 제기되어 왔습니다. 지난 7월 발행된 dr.web 보고서에 따르면, 온라인상에는 해킹된 Redis 서버가 6,300대 이상 존재하는 것으로 나타났습니다.




출처 :

http://www.v3.co.uk/v3-uk/news/2467722/linux-redis-nosql-database-servers-at-risk-from-linuxlady-crypto-trojan

http://vms.drweb.com/virus/?_is=1&i=8400823

티스토리 방명록 작성
name password homepage