HTTP 서버 오작동 iframe을 원격에서 SSH 백도어 통해 실시간 주입

[보안뉴스 김경애] 최근 공격자들은 개개인의 클라이언트에 대한 공격 위주에서 인터넷 기반 인프라(웹 호스팅 서버)에 직접 공격하려는 경향으로 변화하고 있다.

특히 루트 계정을 얻기 위해 웹 호스팅 서버에 로그인 인증 정보를 탈취하는 트로이목마에 감염시키고 있다. 이는 단말기와 단일 웹서버에 대한 공격보다 웹 호스팅 서버에 대한 직접 공격이 더욱 효과적이기 때문이다.

좀더 구체적으로 얘기하자면 웹 호스팅 서버 안에는 여러 개의 홈페이지들이 동시에 운영되는 경우가 많은데 악성코드 유포지 → 여러 개의 운영 홈페이지 동시 감염 → 각 홈페이지별 접속 클라이언트 수만큼 공격(감염)대상이 기하급수적(Many-to-many Relationship)으로 불어날 수 있다.

즉 웹 호스팅 서버의 전력, 대역폭, 지속적인 구동시간 등 성능 요소를 활용할 수 있어 연쇄적으로 더 많은 수의 접속 클라이언트에 대한 공격이 가능해진다.

게다가 접속 클라이언트의 사용자는 현재 이용 서비스에 대해 의심하지 않고 신뢰하는 경향이 있으므로 관련 공격 및 보안취약성이 발생할 확률은 더욱 높아진다.

웹 호스팅 기반 인터넷 인프라 공격 사례를 살펴보면 전 세계 2만 여대의 아파치 HTTP 웹서버가 DarkLeech 악성코드 감염되었거나 이와 관련해 공격이 발생한 것으로 조사됐다.

DarkLeech 악성코드는 SSH 데몬(Secure Shell Demon)의 백도어를 통해 서버 오작동 유도 코드를 설치하는 방식으로, 가장 감염률이 높은 서버 악성코드이며, HTTP 서버 오작동 iframe을 원격에서 SSH 백도어를 통해 실시간으로 주입한다.

이외에 Linux/CDorked 악성코드 감염 및 관련 공격도 발생했다. Linux/CDorked 악성코드는 메모리상에서 상주하며 동작한다. 때문에 감염된 서버에 추가 악성모듈을 실행하지 않으면서도 HTTPD 바이너리 변경이 가능하다. 또한 Linux/CDorked는 아파치 외에 ‘Lighttpd’ 및 ‘Nginx’ 웹 서버 플랫홈도 공격 대상이다.

이와 관련된 좀더 자세한 사항은 인터넷침해대응센터 홈페이지(www.krcert.or.kr)에서 확인하면 된다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>