팔로알토의 유닛 42, 새로운 GoBruteforcer 멀웨어 발견
팔로알토 네트웍스의 Unit42 연구원들이 phpMyAdmin, MySQL, FTP, Postgres를 표적으로 삼는 새로운 GoBruteforcer 멀웨어를 발견했습니다. 새로 발견된 Golang 기반 봇넷 멀웨어는 phpMyAdmin, MySQL, FTP, Postgres 서비스를 실행하는 웹 서버를 찾아서 감염시킵니다.
연구진에 따르면 "샘플이 성공적으로 실행되려면 피해자의 시스템에 특정 인수가 사용되고 있고 (취약한 암호로) 이미 설치된 표적 서비스가 있는 등 특수한 조건이 필요합니다."
이 멀웨어는 각 표적 IP 주소에 대해 phpMyAdmin, MySQL, FTP 및 Postgres 서비스를 검색하기 시작합니다. 연결을 허용하는 개방형 포트를 감지한 후 하드코딩된 자격 증명을 사용하여 로그인을 시도합니다.
액세스 권한을 얻으면 손상된 phpMyAdmin 시스템에 IRC 봇을 설치하거나 다른 표적 서비스를 호스팅하는 서버에 PHP 웹 셸을 설치합니다. 그런 다음 GoBruteforcer는 명령 및 제어 서버에 연결하고 이전에 설치된 IRC 봇 또는 웹 셸을 통해 지침이 전달될 때까지 기다립니다.
아직 개발 중인 것으로 보이는 GoBruteforcer에는 대상 서비스의 열린 포트를 식별하기 위한 UPX Packer와 멀티 스캔 모듈이 포함되어 있습니다. 포트가 식별되면 하드코딩된 자격 증명을 사용하여 서버를 무차별 대입합니다. 이 모듈은 통신을 위해 IRC 봇을 배포하기 전에 phpMyAdmin 서비스에 대해 열려 있는 포트 80을 검색합니다.
MySQL 및 Postgres 서비스의 경우, 이 멀웨어는 열린 포트 3306 및 5432를 확인한 다음 특정 자격 증명을 사용하여 호스트의 데이터베이스를 핑합니다. FTP 서비스의 경우, 열린 포트 21을 확인한 다음 Goftp 라이브러리를 사용하여 인증을 시도합니다. GoBruteforcer 악성코드 샘플은 UPX Packer로 포장되어 있습니다. 샘플의 압축을 풀면 (SHA256
ebe11121aafdac5d8f2eecba710ba85efa31617a5eb825ba2e89e23379b26b84). 이 외에도 GoBruteforcer는 공격을 위해 CIDR 내부의 호스트를 스캔하는 데 사용하는 멀티스캔 모듈을 가지고 있습니다.
"이 멀웨어는 코인 채굴기를 포함하여 다양한 유형의 멀웨어를 페이로드로 원격으로 배포하는 것을 확인했습니다. 고브루트포서가 현재 활발히 개발 중이므로 초기 감염 벡터나 페이로드 등이 가까운 시일 내에 변경될 수 있습니다."라고 연구원들은 말합니다.
고브루트포서 멀웨어 해시는 주로 유닉스 계열(*nix) 플랫폼을 표적으로 삼았으며, x86, x64 및 ARM 아키텍처용 버전이 있습니다. 서버를 호스팅하는 데 *nix 운영 체제가 널리 사용되기 때문에 이 운영 체제를 선택한 것으로 보입니다. GoBruteforcer는 현재 활발하게 개발 중이므로 초기 감염 벡터나 페이로드와 같은 것들이 가까운 시일 내에 변경될 수 있습니다.
이 글의 출처는 BleepingComputer의 기사입니다.