사전 공격 통해 침투...그 후 SHC 다운로더 심어 암호화폐 채굴 코드 설

요약 : 보안 외신 해커뉴스에 의하면 새로운 리눅스 멀웨어가 발견됐다고 한다. 셸 스크립트 컴파일러(SHC)를 기반으로 만들어졌고, 암호화폐 채굴 멀웨어를 피해자의 시스템에 심는 것을 목표로 하고 있는 것으로 분석됐다. 주로 SSH 서버가 공략 대상인 것으로 보이며, 최초 침해에 성공한 공격자들은 shc 다운로더 멀웨어와 펄(Perl) 기반 디도스 IRC 봇을 함께 심는다. 이중 shc 다운로더가 암호화폐 채굴 코드인 XM리그(XMRig)를 설치한다. IRC 봇은 원격 서버로부터 공격자의 추가 명령을 받는 기능을 수행한다.


배경 : SHC는 셸 스크립트들을 바이너리로 전환할 수 있게 해 준다. 배치 파일을 실행 파일로 바꿔주는 윈도의 BAT2EXE 유틸리티와 같은 거라고 볼 수 있다. 현재까지 shc 다운로더 거의 대부분 한국에서부터 바이러스토탈로 업로드 되고 있는 것으로 보아 공격 캠페인 자체가 한국을 중심으로 하는 것으로 추정된다.

말말말 : “공격자들은 ‘사전 공격(dictionary attack)’ 방식으로 인증 시스템을 우회한 것으로 보입니다. 비밀번호 관리를 철저히 하고, OS를 최신화 하면 이런 공격으로부터 어느 정도 안전해질 수 있습니다.” -안랩-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>