|
Linux 서버와 IoT 장치를 공격하는 새로운 봇넷 발견 침해사고분석팀 2020.11.11 |
|
|
새로운 형태의 악성코드가 리눅스 서버와 사물인터넷(IoT) 기기를 대상으로 공격중이다. Juniper Threat Labs의 사이버보안 연구진에 의해 발견된 이 악성 웜은 GitPaste-12로 불리며, 컴포넌트 코드를 저장하는데 GitHub와 Pastebin을 사용하고, Linux 기반 x86 서버와 Linux ARM, MIPS기반의 IoT 장치를 12가지의 방법을 사용하여 손상시키기 때문에 이처럼 이름지어졌다.
여기에는 Asus, Huawei, Netlink와 같은 라우터는 물론, MongoDB, Apache Struts를 공격할 수 있는 11가지 취약점을 가지고 있고, default로 설정되어 있거나 일반적인 사용자 이름과 비밀번호를 탈취하기 위한 brute force 공격을 사용한다.
[표 1. Gitpaste가 사용하는 11가지 취약점]
Gitpaste-12는 이러한 취약점 중 하나를 사용하여 시스템을 손상시킨 후, 명령을 전달하기 위해 Pastebin에서 스크립트를 다운로드 한다. 이는 방화벽과 모니터링 소프트웨어를 비롯한 악성 활동에 대응할 수 있는 방어 기능을 해제하는 것을 목표로 한다.
[그림 1. virustotal 탐지 결과]
Gitpaste-12에는 알리바바 클라우드와 텐센트를 비롯한 중국 주요 인프라 제공업체의 클라우드 보안 서비스를 비활성화하기 위한 명령도 포함되어 있으며, 이는 봇넷이 공격자에 의한 대규모 다단계 작업의 첫 단계일 수 있음을 보여준다.
봇넷은 악성 프로그램을 복제하고 배포하기 위해 손상된 시스템을 사용하여 동일 네트워크 또는 연결된 네트워크의 다른 취약한 장치에 대해 스크립트를 실행하는 웜으로 작동한다.
Gitpaste-12는 아직 개발 테스트 단계에 있으며, 앞으로도 다양한 오픈소스 GitHub프로젝트를 이용한 공격이 이어질 것으로 예상된다.
출처
|
