Home > 전체기사

쉘봇 악성코드, 취약점 노출된 리눅스 SSH 서버 대상 집중 공격

  |  입력 : 2023-03-15 17:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
펄 언어로 개발된 디도스봇 악성코드...C&C 서버와 IRC 프로토콜 이용해 통신
웹 브라우저 또는 메일 첨부파일 통해 악성코드 확산...정상 프로그램으로 위장도


[보안뉴스 김영명 기자] 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 쉘봇(ShellBot) 악성코드들이 설치되고 있는 것이 확인됐다. 펄봇(PerlBot)이라고도 불리는 쉘봇은 펄(Perl) 언어로 개발된 디도스봇(DDoS Bot) 악성코드로서, C&C(명령제어) 서버와 IRC 프로토콜을 이용해 통신하는 것이 특징이다. 쉘봇은 꾸준히 사용되고 있는 오래된 악성코드로서 최근까지도 다수의 리눅스 시스템들을 대상으로 공격하고 있다.

[이미지=utoimage]


안랩 ASEC 분석팀에서는 리눅스 SSH 서버를 대상으로 공격하는 쉘봇 악성코드를 확인했다고 밝혔다. 일반 사용자들의 주요 작업 환경인 데스크톱과 달리 서버는 주로 특정 서비스를 제공한다. 따라서 데스크톱 환경에서는 악성코드가 주로 웹 브라우저나 메일의 첨부파일을 통해 감행되며, 공격자도 악성코드 설치를 유도하기 위해 정상 프로그램으로 위장해 악성코드를 유포한다.

서버 환경을 대상으로 하는 공격자들은 이러한 방식으로 악성코드를 유포하는데 한계가 존재하기 때문에 다른 방식을 사용한다. 대표적으로 부적절하게 관리되고 있거나 최신 버전으로 패치를 하지 않아 취약점에 노출된 서비스들이 그 대상이 된다.

부적절하게 관리되고 있는 서비스로는 대표적으로 단순한 형태의 계정정보를 사용함에 따라 사전 공격에 취약한 유형이 있다. 예를 들어 마이크로소프트 윈도 운영체제를 대상으로 하는 주요 공격 벡터 중 하나인 Remote Desktop Protocol(RDP) 및 MS-SQL 서비스가 대표적이다. 리눅스 서버 환경에서는 주로 Secure Shell(SSH) 서비스가 공격 대상이 된다. 오래된 리눅스 서버 또는 임베디드 리눅스 운영체제가 설치된 IoT 환경에서는 텔넷(Telnet) 서비스가 사전 공격 대상이 되기도 한다.

▲쉘봇 악성코드의 버전 정보[자료=안랩 ASEC 분석팀]


쉘봇 악성코드도 공격자들이 설치한 스캐너 및 SSH BruteForce 악성코드들을 이용해 획득한 계정정보를 이용해 설치된 것으로 추정된다. 공격자들은 22번 포트인 SSH 서비스가 동작하는 시스템들을 스캐닝한다. 이후 SSH 서비스가 동작 중인 시스템을 찾은 다음 흔히 사용되는 SSH 계정 정보 목록을 이용해 사전 공격을 진행했다.

쉘봇은 오랜 기간 다양한 공격자들에 의해 사용되고 있다. 쉘봇은 공격자마다 커스터마이징해 사용하기 때문에 조금씩 다른 형태 및 기능을 갖는다. 최근 유포 중인 것으로 확인된 쉘봇 악성코드는 기준으로 크게 LiGhT′s Modded perlbot v2, DDoS PBot v2.0, PowerBots (C) GohacK 등 3개로 분류했으며, 설치에 사용된 명령과 특징, DDoS 공격을 포함한 간략한 기능들을 정리하면 다음과 같다.

첫 번째로 ‘LiGhT′s Modded perlbot v2’이라고 이름 붙여진 쉘봇 악성코드다. ‘LiGhT′s Modded perlbot v2’는 다양한 공격자들이 사용하고 있다. SSH 서버 로그인에 성공한 이후에는 다음과 같은 명령들이 쉘봇 설치에 사용되고 있다.

C&C 서버 및 입장할 채널 이름과 같은 설정 데이터들은 쉘봇의 초기 루틴에 존재한다. IRC 채널 입장에 필요한 닉네임은 ‘IP-[랜덤한 5개의 숫자]’가 사용된다.

▲쉘봇의 설정 데이터[자료=안랩 ASEC 분석팀]


‘LiGhT′s Modded perlbot v2’ 버전의 쉘봇은 다양한 기능들을 제공하는데, 크게 다음과 같이 분류할 수 있다. 실질적으로 악의적인 목적으로 사용될 수 있는 명령이라고 한다면 TCP, UDP, HTTP Flooding과 같은 DDoS 명령들 그리고 리버스 쉘, 로그 삭제, 스캐너와 같이 감염 시스템을 제어하고 다른 공격에 이용할 수 있도록 하는 다양한 명령들이 있다.

두 번째로 ‘DDoS PBot v2.0’도 다양한 공격에 사용되고 있다. ‘DDoS PBot v2.0’는 초기 루틴에서 볼 수 있는 주석에 기본적인 정보들과 사용 가능한 명령들을 보여주는 점이 특징이다.

‘DDoS PBot v2.0’는 ‘abbore’, ‘ably’, ‘abyss’를 포함한 500개가 넘는 닉네임들 중 하나를 랜덤으로 선택해 IRC 채널에 입장하는 것이 특징이다. 참고로 일반적인 IRC Bot들은 IRC 채널에서 공격자가 내린 명령을 받아 악성 행위를 수행한다. 이에 따라 명령을 내리는 공격자를 검증할 필요가 있다. 검증 과정이 없다면 다른 사용자가 해당 채널에 입장해 마음대로 Bot들을 제어할 수 있기 때문이다.

▲DDoS PBot v2.0의 초기 루틴[자료=안랩 ASEC 분석팀]


이를 위해 IRC Bot은 추가적인 작업을 진행하는데, 명령을 내리기 위해서는 채널에 입장한 사용자의 닉네임과 호스트 주소를 검증한다. 예를 들어 ‘bash’ 악성코드에서 사용자의 닉네임은 ‘admins’ 변수에 지정된 ‘crond’, ‘drugs’, ‘tab’ 중 하나여야 하며, 호스트 주소는 ‘hostauth’ 변수에 지정된 ‘localhost’여야 한다. ‘DDoS PBot v2.0’ 또한 일반적인 ShellBot과 동일하게 DDoS 공격을 포함한 다양한 악의적인 명령들을 제공한다.

▲DDoS PBot v2.0의 설정 데이터[자료=안랩 ASEC 분석팀]


쉘봇은 Perl 언어로 개발된 것 외에도 C&C 서버와의 통신에 IRC 프로토콜을 이용한다는 특징이 있다. IRC는 1988년 개발된 실시간 인터넷 채팅 프로토콜이다. 사용자들은 특정 IRC 서버의 특정 채널에 접속해 같은 채널에 접속한 다른 사용자들과 실시간으로 채팅할 수 있다.

IRC 봇은 이러한 IRC를 악용해 C&C 서버와의 통신에 사용하는 봇 악성코드다. 감염 시스템에 설치된 IRC 봇은 IRC 프로토콜에 따라 공격자가 지정한 IRC 서버의 채널에 접속하며, 이후 탈취한 정보를 해당 채널에 전달하거나 공격자가 특정 문자열을 입력할 경우 이를 명령으로 전달받아 이에 상응하는 악성 행위를 수행할 수 있다.

추가적인 C&C 서버 및 프로토콜을 개발할 필요 없이 이미 존재하는 IRC 프로토콜을 이용하고 기존 IRC 서버를 활용할 수 있다는 점에서 IRC는 과거부터 꾸준히 악성코드들에 의해 사용됐다. 윈도 환경을 대상으로 하는 악성코드 중에서는 IRC 봇의 비율이 줄었지만, 리눅스 환경의 경우에는 아직도 IRC 봇이 다수 유포되고 있다.

세 번째로 ‘PowerBots (C) GohacK’ 악성코드가 있다. PowerBots는 위에서 다룬 쉘봇 유형들보다 단순한 형태인 것이 특징이다. 다양한 DDoS 공격 기능을 제공하는 쉘봇 유형들과 달리 리버스 쉘 및 파일 다운로드 기능이 주요 기능인 것을 보면 공격자는 백도어로서 쉘봇 악성코드를 설치한 것으로 추정된다.

▲PowerBots의 설정 데이터[자료=안랩 ASEC 분석팀]


최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 공격자들이 쉘봇 악성코드를 설치하고 있다. 이러한 유형의 공격들은 과거부터 꾸준히 진행되고 있으며 최근까지도 다수의 공격이 확인되고 있다. 쉘봇이 설치될 경우 리눅스 서버는 공격자의 명령을 받아 특정 대상에 대한 DDoS 공격을 수행하는 DDoS Bot으로 사용될 수 있으며, 이외에도 다양한 백도어 기능을 통해 추가 악성코드가 설치되거나 다른 공격에 사용될 수 있다.

이에 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경해 무차별 대입 공격과 사전 공격으로부터 리눅스 서버를 보호해야 한다. 서버 프로그램은 항상 최신 버전으로 패치해 취약점 공격을 방지해야 한다. 또한, 외부에 오픈돼 접근 가능한 서버는 방화벽 등의 보안제품을 이용해 공격자로부터의 접근을 통제해야 한다. 마지막으로 V3 등 백신을 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 해야 한다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)