리눅스 SSH 서버에 디도스봇·코인 마이너에 이어 스캐너 악성코드 설치 우려
SSH 서버 계정의 비밀번호 어렵게 만들고, 주기적으로 교체해야

[보안뉴스 박은주 기자] 부적절하게 관리되는 SSH(Secure Shell) 서버에는 디도스봇(DDoS Bot)이나 코인 마이너(Coin Miner)뿐만 아니라 ‘SSH 스캐너 악성코드’가 설치될 수 있다는 우려가 제기됐다. 이에 대비하기 위해 계정 비밀번호를 추측하기 어려운 형태로 만들고, 주기적으로 바꿔야 한다.


이를 통해 무차별 대입 공격과 사전 공격으로부터 리눅스 서버를 보호하고, 최신 버전으로 패치해 취약점 공격을 방지할 수 있다. 또한 외부에 공개돼 접근할 수 있는 서버에 대해 방화벽과 같은 보안 제품을 이용해 공격자의 접근을 통제할 수 있다.

공격자는 디도스봇이나 코인 마이너 등의 악성코드를 설치하기 이전에 공격 대상의 정보(IP 주소, SSH 자격 증명 정보 등)를 획득해야 한다. 이를 위해선 IP를 스캐닝하며 SSH 서비스(22번 포트)가 활성화된 서버를 찾는다. 그 이후 아이디와 패스워드 정보를 알아내기 위해 무차별 대입 공격이나 사전 공격을 감행하게 된다. 공격자가 확보한 코인 마이너가 많을 수록 더 많은 가상화폐를 채굴할 수 있으며, 디도스봇이 많을수록 더 많은 디도스 공격을 수행할 수 있다.

그러나 이때 필요한 것이 공격 대상 정보 즉 ‘자격증명 정보’를 확보하는 일이다. 이에 따라 확보한 감염 시스템에 디도스봇이나 코인 마이너 악성코드 외에도 스캐닝 및 무차별 대입 공격 또는 사전 공격을 수행하는 악성코드를 설치해 취약한 시스템을 더 많이 확보하게 된다. 물론 스캐너 악성코드만 설치해 IP 및 자격증명 정보를 얻고, 그 정보를 다크웹에 판매할 수 있다. 이와 관련 안랩 ASEC 분석팀에서는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 한 공격사례를 분석해 발표했다.

리눅스 SSH 서버를 대상으로 하는 악성코드
부적절하게 관리되는 리눅스 SSH 서버를 대상으로 하는 공격을 통해 설치되는 악성코드들로는 ShellBot, Tsunami 및 ChinaZ, DDoS Bot 그리고 XMRig 코인마이너 유형이 있다. 물론 이외에도 이미 알려진 다양한 악성코드들이 공격에 사용되고 있는데, 안랩 위협 인텔리전스 플랫폼 ‘안랩 TIP’에서는 분기별로 공격 및 악성코드 통계를 공개하고 있다.


공격자는 악성코드를 설치하기 전에 아이디와 패스워드 목록을 이용해 SSH 서비스가 활성화된 리눅스 서버에 로그인을 시도한다. 로그인에 성공할 경우 악성코드를 설치한다. 반면 이번에 확인된 공격자는 악성코드를 설치 대신, 또 다른 스캐너 악성코드를 설치했다. 이는 취약한 시스템을 확보하기 위한 목적으로 보인다는 게 안랩 ASEC 분석팀의 설명이다.

SSH Bruteforce 공격 캠페인
공격자는 스캐너를 이용해 SSH 서비스가 동작하는(22번 포트) 시스템을 스캐닝한다. 이후 SSH 사전 공격 도구를 이용해 획득한 계정 정보를 이용해 악성코드를 설치한다. 로그인에 성공한 후에는 명령을 실행해 CPU 코어 전체 개수를 확인한다. 해당 명령은 SSH 사전 공격 도구 ‘prg’를 사용해 로그인에 성공한 이후에 실행하는 명령이다.


해당 명령이 실행되면 공격자가 계정정보를 획득했다는 의미다. 이후 공격자는 해당 계정 정보를 이용해 다시 로그인하고, 압축파일을 내려받는다. 압축파일에는 포트 스캐너 및 SSH 사전 공격 도구가 포함돼 있다.


포트 스캐너, SSH 사전 공격 도구 등의 파일은 과거부터 다양한 공격자에 의해 사용되고 있다. 공격자마다 사용하는 도구와 계정정보 목록 등의 파일은 조금씩 다르지만 유사한 흐름을 보인다는 게 안랩 ASEC 분석팀의 설명이다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>