Home > 전체기사
리눅스 노리던 봇넷 멀웨어 둘, 최근 들어 도커 서버도 노리기 시작
  |  입력 : 2020-06-24 12:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2014년부터 활동해온 소르디도스와 올해 처음 발견된 카이지...원래 리눅스 타격
최근 발견된 버전들은 도커 서버도 노려...하지만 그것 외에는 더 발전한 모습 없어


[보안뉴스 문가용 기자] 오래된 디도스 봇넷이 다시 활동을 시작했다고 보안 업체 트렌드 마이크로(Trend Micro)가 경고했다. 이번 버전은 인터넷에 노출된 도커 서버를 집중적으로 노린다고 한다. 새롭게 발견된 봇넷 역시 도커 서버를 감염시키고 있다는 내용도 덧붙었다. 이 봇넷은 소르디도스(XORDDoS)와 카이지(Kaiji)다.

[이미지 = utoimage]


소르디도스는 2014년 경부터 활동해온 오래된 봇넷으로, 당시에는 리눅스 시스템을 주로 공략했었다. 카이지는 올해 처음 발견된 봇넷으로, 고(Go) 언어로 만들어졌으며, 역시 리눅스 시스템을 감염시키는 것으로 밝혀졌다. 소르디도스나 카이지 모두 발원지가 중국인 것으로 보인다.

소르디도스와 카이지는 인터넷에 노출된 SSH와 텔넷 포트들을 스캔한 후 브루트포스 공격을 통해 접근하는 것으로 알려져 있다. 트렌드 마이크로가 최근 발견한 신종은 여기에 더해 도커 서버까지도 노리는 것이다. “현재 공격자들은 2375 포트를 통해 노출된 도커 서버들을 찾고 있습니다. 도커 API가 활용되는 포트 중 하나죠. 주로 암호화 되지 않은 통신에 활용됩니다.”

소르디도스와 카이지의 가장 큰 차이는 다음과 같다고 트렌드 마이크로는 발표했다.
1) 소르디도스 : 서버에 존재하는 모든 컨테이너를 감염시킨다.
2) 카이지 : 스스로의 컨테이너에서만 멀웨어를 작동시킨다.

소르디도스는 도커 서버 침해 성공 후 여러 명령을 실행해 컨테이너들을 식별하고 감염시킨다. 특히 디도스 공격을 위한 멀웨어를 모든 컨테이너에 심는다. 공격자들이 주로 하는 건 SYN, ACK, DNS로 분류되는 디도스 공격이다. 그 외에 시스템 정보를 수집하기도 하고, 추가 멀웨어를 설치하기도 한다.

그 외에도 도커를 노리는 것으로 유명한 디도스 봇넷이 있는데, 바로 에이스디도스(AESDDoS) 혹은 도플루(Dofloo)이다. 트렌드 마이크로는 소르도스가 이 봇넷과 관련건이 있음을 이번 연구를 통해 알아내기도 했다.

한편 카이지 공격자들은 웹을 스캔해 인터넷에 노출된 도커 서버들을 찾아낸다. 그 후 ARM 컨테이너를 서버에 구축한 후, 이곳에 멀웨어를 호스팅 한다. 이 멀웨어는 스크립트로, 디도스 페이로드를 다운로드 받아 실행하는 기능을 가지고 있다. 또한 디도스 공격에 필요 없는 OS 파일들을 전부 삭제하기도 한다.

카이지 역시 시스템 정보를 수집한다. 뿐만 아니라 ACK, IPS 스푸핑, SSH, SYN, SYNACK, UDP, TCP 공격 등 여러 가지 유형의 디도스 공격을 실시할 수 있다. 트렌드 마이크로 측은 “예전부터 있었던 기능”이라고 일축했다. “최신 버전이 발견되긴 했지만 도커 서버를 노린다는 것 말고는 이전에 비해 크게 달라진 점은 없습니다.”

3줄 요약
1. 오래된 디도스 봇넷 소르디도스와 최근 발견된 디도스 봇넷 카이지.
2. 둘 다 리눅스 노리던 멀웨어였는데, 최근 들어 도커 서버들도 같이 노림.
3. 각종 디도스 공격을 할 수 있을 뿐만 아니라 정보 수집까지도 가능

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)