Linux 멀웨어 '래퍼봇'의 무차별 대입 SSH 서버 공격
포티넷의 위협 헌터들이 "래퍼봇"이라는 새로운 봇넷을 발견했습니다. 2022년 6월 중순부터 사용되기 시작한 이 멀웨어는 무차별 대입 공격을 통해 Linux SSH 서버를 표적으로 삼아 디바이스에 대한 액세스 권한을 획득했습니다.
무차별 암호 대입 공격은 기본적으로 사용자 이름과 비밀번호를 '추측'하여 시스템에 무단으로 액세스하는 것입니다.
"기본적으로 기본 암호 또는 취약한 암호를 사용하여 텔넷 서버를 무차별 대입하는 대부분의 미라이 변종과 달리, 래퍼봇은 암호 인증을 수락하도록 구성된 SSH 서버를 독점적으로 검사하고 무차별 대입을 시도합니다. 이 멀웨어 코드에는 768비트 또는 2048비트 키와 AES128-CTR을 사용한 데이터 암호화로 Diffie Hellmann 키 교환을 지원하는 모든 SSH 서버에 연결하고 무차별 암호 대입을 수행할 수 있는 SSH 2.0 클라이언트 구현이 포함되어 있습니다."라고 포티넷 보고서는 설명합니다.
래퍼봇은 초기 서버 액세스 권한을 획득하는 데 사용되며, 이후 네트워크 내에서 측면 이동을 하는 데 사용됩니다. 래퍼봇은 제한된 디도스 기능을 가지고 있으며 연구원들에 의해 야생에서 발견되었습니다.
연구진에 따르면 래퍼봇은 자체 명령 및 제어(C2) 프로토콜과 기타 고유한 기능을 갖추고 있습니다.
시스템을 무차별 대입하기 위해 멀웨어는 C2 호스트 고유의 TCP 요청에서 다운로드한 로그인 자격 증명 목록을 사용합니다. 성공하면 멀웨어는 C2에 다시 보고합니다.
현재 진행 중인 조사의 일환으로 래퍼봇은 원격 바이너리 다운로더를 통한 자체 전파 메커니즘을 사용합니다.
새로운 변종의 래퍼봇은 정교한 기술을 사용하여 시스템을 무차별 대입합니다. 최근의 예에서 봇은 손상된 엔드포인트에 루트 사용자 "suhelper"를 추가합니다. 또한 봇은 관리자가 계정을 발견하여 삭제하면 매 시간마다 사용자를 새로 추가하는 Cron 작업을 생성합니다.
봇넷으로는 매우 드물게 DDoS 기능이 제한되어 있기 때문에 래퍼봇의 사용법은 거의 알려지지 않았다는 점에 유의하는 것이 중요합니다. 하지만 면밀히 조사한 결과, 멀웨어는 감염된 Linux 시스템에만 둥지를 틀고 머무르는 것으로 나타났습니다.
이 글의 출처는 사이버보안뉴스의 기사입니다.