|
이커머스 서버에 배포된 리눅스 악성코드와 웹 스키머 침해사고분석팀 2021.11.19 |
|
|
보안 연구원들은 공격자들이 온라인 상점 웹사이트에 신용 카드 스키머를 삽입한 후 손상된 전자 상거래 서버에 Linux 백도어를 배포하고 있음을 발견했다.
PHP로 작성된 웹 스키머는 고객의 결제 및 개인 정보를 도용하고 유출하도록 설계된 스크립트로, 공격자는 이를 /app/design/frontend/ 폴더에 .JPG 이미지 파일로 위장한다.
공격자는 이 스크립트를 사용하여 해킹된 온라인 상점에서 고객에게 표시되는 결제 페이지에 가짜 결제 양식을 다운로드하고 삽입한다.
Sansec 위협 연구팀은 "공격자가 자동화된 전자 상거래 공격 조사를 시작하여 일반적인 온라인 상점 플랫폼의 수십 가지 약점을 테스트한 것을 발견했다. 공격자는 상점 플러그인 중 하나에서 파일 업로드 취약점을 발견했고, 웹쉘을 업로드하고 서버 코드를 수정하여 고객 데이터를 가로챘다." 라고 밝혔다.
[ 그림 1. Sansec 트위터 계정의 관련 트윗 화면 ]
네덜란드 사이버 보안 회사 Sansec이 동일한 서버에서 발견한 Golang 기반 멀웨어는 침해된 서버에서 linux_avp 실행 파일로 다운로드되고 실행된다.
실행되면 즉시 디스크에서 자신을 제거하고 현재 실행 중인 프로세스 목록을 가져오는 데 사용되는 "ps -ef" 프로세스로 위장한다.
linux_avp 백도어를 분석하는 동안 Sansec은 Alibaba 네트워크에서 호스팅되는 베이징 서버의 명령을 기다리는 것을 발견했다.
또한, C&C 서버에서 악성 페이로드를 다시 다운로드하고 탐지 및 제거되거나 서버가 다시 시작되는 경우 백도어를 다시 설치하는 새로운 crontab 항목을 추가하여 멀웨어가 지속성을 확보한다는 사실을 발견했다.
샘플이 처음 업로드된 지 한 달이 지난 10월 8일에도 불구하고 지금까지 이 백도어는 VirusTotal의 맬웨어 방지 엔진에 의해 탐지되지 않고 있다.
출처 |
