쓰나미 DDoS 봇넷의 표적이 된 Linux SSH 서버
안랩 시큐리티 긴급대응센터(ASEC) 연구진은 보안이 취약한 리눅스 SSH 서버에 일명 '카이텐'으로 알려진 쓰나미 디도스 봇넷을 설치하기 위한 해킹 활동이 지속되고 있는 것을 발견했습니다.
쓰나미는 다양한 표적에 치명적인 공격을 가하는 데 사용할 수 있는 강력한 디도스 무기입니다. 무료로 사용할 수 있으므로 위협 행위자가 자체 봇넷을 구축할 수 있습니다. 봇넷은 주로 무차별 대입 공격을 통해 확산되며, 공격자는 일치하는 것을 발견할 때까지 SSH 서버의 사용자 이름과 비밀번호 조합을 추측합니다.
서버 침해 후 공격자는 취약한 컴퓨터를 제어하기 위해 Bash 스크립트와 같은 도구를 사용하여 멀웨어 변종을 다운로드하고 실행하는 명령을 사용합니다. 공격자는 백도어 SSH 계정을 생성하고 새로운 SSH 키를 생성하여 사용자 비밀번호가 재설정되더라도 계속 액세스하려고 시도합니다.
또한 공격자는 ShellBot과 같은 멀웨어를 사용하여 감염된 컴퓨터를 원격으로 조작하고 XMRig CoinMiner를 사용하여 서버를 하이재킹하고 리소스를 사용하여 모네로 코인을 채굴합니다. 또한 로그 클리너를 사용하여 시스템 로그를 제거하므로 활동을 모니터링하기가 더 어려워집니다.
이 캠페인에 사용된 쓰나미 봇 변종은 Ziggy로 알려진 카이텐 변종입니다. 이 변종은 "/etc/rc.local"이라는 파일에 쓰는 방식으로 자신을 숨겨서 식별하기 어렵게 만듭니다. 또한 다른 프로세스와 어울리도록 프로세스 이름을 "[kworker/0:0]"으로 변경합니다. SYN, ACK, UDP, 플러드와 같은 DDoS 전술을 사용합니다. 또한 공격자가 시스템 정보를 획득하고, 셸 명령을 실행하고, 리버스 셸을 구성하고, 스스로 업데이트하고, 추가 페이로드를 다운로드하고, 심지어 자체 활동을 중단할 수 있도록 하는 명령도 포함되어 있습니다.
이러한 공격의 희생양이 될 가능성을 줄이려면 Linux 사용자는 강력한 계정 비밀번호를 사용하거나 보안을 강화하기 위해 인증에 SSH 키를 사용해야 합니다. 또한 ASEC은 자동화된 봇과 감염 스크립트를 막기 위해 SSH를 통한 루트 로그인을 방지하고, 서버에 액세스할 수 있는 IP 주소 범위를 제한하고, 기본 SSH 포트를 예측하기 어려운 번호로 변경할 것을 권장합니다.
이 글의 출처는 BleepingComputer의 기사입니다.