수 천대 리눅스 장비를 프록시 서버로 둔갑시키는 새로운 트로이목마 발견돼

수 천대 리눅스 장비를 프록시 서버로 둔갑시키는 새로운 트로이목마 발견돼

New Trojan Turns Thousands Of Linux Devices Into Proxy Servers

새로운 트로이목마가 발견되었습니다. 프록시 공격자가 해킹한 시스템에서 사이버 공격을 실행할 때, 리눅스 기반의 장비들을 그들의 신상을 숨기는데 사용하는 서버로 둔갑시키는 것으로 나타났습니다.

Linux.Proxy.10로 불리는 이 트로이목마는 러시아 보안 회사인 Dr.Web이 지난해 말 처음 발견했습니다. 이후 그들은 올 1월 말, 손상된 수천대 장비들을 발견했습니다. 해당 공격은 계속 진행되고 있으며, 더욱 많은 리눅스 장비들을 노리고 있는 것으로 밝혀졌습니다.

연구원들에 따르면 이 악성코드 자체에는 리눅스 머신들을 해킹하기 위한 어떠한 악성 모듈도 포함하고 있지 않습니다. 대신 공격자들은 다른 트로이목마와 기술을 이용해 장비를 먼저 손상시킨 후, 새로운 백도어 로그인 계정을 생성합니다. 계정명은 “mother”이며 비밀번호는 “fucker”를 사용하고 있습니다.

백도어가 설치된 후, 공격자는 성공적으로 손상시킨 모든 리눅스 장비의 목록을 획득합니다. 이후 SSH 프로토콜을 통해 해당 장비들에 로그인하고, 설치된 Linux.Proxy.10 악성코드를 통해 SOCKS5 프록시 서버를 설치합니다.

이 리눅스 악성코드는 Satanic Socks Server의 무료 소스 코드를 사용해 프록시를 세팅하므로, 그리 정교한 것은 아닙니다. Dr.Web에 따르면, 리눅스 기반의 장비 수 천대가 이미 해당 트로이목마에 감염된 것으로 밝혀졌습니다.

 

<이미지 출처 : http://thehackernews.com/2017/01/linux-proxy-malware.html>

Linux.Proxy.10 악성코드를 배포하는 사이버 범죄자들이 소유한 서버에는 손상된 장비의 목록 뿐만 아니라, 컴퓨터 모니터링 소프트웨어인 Spy-Agent와 윈도우 트로이목마 스파이웨어 패밀리인 BackDoor.TeamViewer의 제어판도 함께 호스팅하고 있었습니다.

리눅스 악성코드가 발견된 것은 이번이 처음이 아닙니다. 약 1년 전, 보안 연구원들이 이와 유사한 악성코드인 Moose를 발견한 바 있습니다. 이 또한 리눅스 장비를 프록시 서버로 둔갑시키고, 인스타그램, 트위터를 포함한 SNS의 가짜 계정들로 이루어진 공격 부대를 제어하는데 사용했습니다.

이에 대응하기 위해 리눅스 사용자들과 관리자들은 SSH를 통한 원격 루트 접근을 비활성화하거나 제한하여 SSH 보안을 더욱 견고히 하는 것을 추천 드립니다. 또한 주기적으로 새롭게 생성된 로그인 사용자가 있는지 확인하여 시스템이 감염되었는지 점검할 것을 당부 드립니다.

출처 :

http://thehackernews.com/2017/01/linux-proxy-malware.html

http://news.drweb.com/show/?i=11115&c=5&lng=en&p=0

http://vms.drweb.com/virus/?i=14906958&lng=en