Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Cryptomining DreamBus 봇넷, 리눅스 서버 대상으로 한다
작성일 2021-01-26 조회 25

 

DreamBus 봇넷은 공격과 무차별 대입을 사용하여 PostgreSQL, Redis, SaltStack, Hadoop, Spark 등을 공략한다.

 

 

dreambus.png

 

 

최근에 리눅스 서버를 온라인에 배포할 때 아주 작은 약점을 노출시키면 사이버 범죄 그룹이 이 서버를 봇넷의 일부로 포함할 가능성이 있다.

 

이러한 위협의 최근 이름은 "DreamBus"이다.

 

보안 회사 Zscaler가 지난 주에 발표한 보고서에서 이 새로운 위협은 2019년 초에 처음 발견된 SystemdMiner라는 오래된 봇넷의 변형이라고 말했다.

 

그러나 현재 DreamBus 버전은 초기 SystemdMiner에 비해 몇 가지 개선이 이루어졌다.

 

현재 봇넷은 Linux 시스템에서 실행되는 엔터프라이즈 수준의 앱을 대상으로 한다. 대상에는 PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack 및 SSH 서비스와 같은 광범위한 앱 컬렉션이 포함된다.

 

이러한 앱 중 일부는 기본 관리자 이름에 대한 무차별 대입 공격, 혹은 노출된 API 엔드 포인트에 악의적인 명령을 보내거나 이전 취약점에 대한 공격을 통해 공격 대상이 된다.

 

또한 감염된 각 서버는 DreamBus 작업에서 봇으로도 사용되어 가능한 다른 대상에게 추가 무차별 대입 공격을 시작한다.

 

Zscaler는 또한 DreamBus가 쉽게 탐지되는 것을 막기 위해 몇 가지 조치를 취했다고 말했다. 그 중 하나는 맬웨어에 감염된 모든 시스템이 새로운 DoH(DNS-over-HTTPS) 프로토콜을 통해 봇넷의 C&C 서버와 통신한다는 것이다. DoH 지원 멀웨어는 설정이 복잡하기 때문에 매우 드물다.

 

 

[그림1. Intezer Labs의 트위터]

 

 

또한, C&C 서버가 다운되는 것을 막기 위해 DreamBus 공격자들은 .onion 주소를 통해 Tor 네트워크에 호스팅했다.

 

하지만 이러한 모든 보호 조치에도 불구하고, Zscaler의 Brett Stone-Gross는 러시아나 동유럽에서 생성되고 운영되는 또 다른 봇넷을 목격하고 있다고 말했다.

 

"보통 오전 6시(UTC)부터 오후 3시(UTC)까지 업데이트 및 새 명령이 실행된다"라고 연구원은 말했다.

 

Stone-Gross는 또한, 기업들에게 이 봇넷을 가볍게 여기지 말라고 경고했다.

 

봇넷은 현재 암호화폐 채굴기를 제공하지만, Zscaler 연구원은 운영자들이 언제든지 원하는 시간에 랜섬웨어와 같은 더 위험한 페이로드로 쉽게 전환할 수 있다고 믿고 있다.

 

 

출처

https://www.zdnet.com/article/dreambus-botnet-targets-enterprise-apps-running-on-linux-servers/

https://securityaffairs.co/wordpress/113832/malware/dreambus-botnet-linux-servers.html

첨부파일 첨부파일이 없습니다.
태그 DreamBus 봇넷  SystemdMiner 변형