• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

아카마이, 리눅스 아이피테이블 감염 대규모 디도스 공격 경고 2014.09.11

디도스 봇넷이 리눅스 시스템 원격 통제하며 자체업데이트 실행

엔터테인먼트 업계가 이번 디도스 공격 표적의 주요 대상


[보안뉴스 정규문] 온라인 콘텐츠 및 비즈니스 애플리케이션을 전송, 최적화 및 보호하는 클라우드 서비스 선두 기업 아카마이(북 태평양지역 총괄 대표 팔리말 판드야, www.akamai.com/kr)는 프로렉식 보안 엔지니어링 및 리서치 팀(Security Engineering & Research Team)의 연구를 통해 새로운 사이버 보안 위협에 대한 대처방안을 제시했다.

 


리눅스 시스템(Linux System)의 lptabLes와 lptabLex 감염이 기업보안에 위협을 가할 수 있으며, 주요 표적 대상으로 엔터테인먼트 산업을 꼽았다. 이번에 발표된 보안 경고는 아카마이가 최근 인수 완료한 디도스(DDoS) 보호 서비스 업체인 프로렉식 테크놀로지(Prolexic Technologies)사의 홈페이지에서 보다 더 자세히 살펴볼 수 있으며, www.prolexic.com/iptablex 무료 PDF 파일의 다운로드가 가능하다.


스튜어트 스콜리(Stuart Scholly) 아카마이 수석 부사장 겸 보안 부문 제너럴 매니저는 “IptabLes와 IptabLex 악성코드에 의한 리눅스 시스템 감염은 2014년 디도스 캠페인에서 관측된 디도스 공격 중 가장 주목할 만한 공격이다”라고 했다.


이어 “리눅스 운영 체제는 디도스 봇넷이 주로 공격하던 대상이 아니었기 때문에 더욱 그러하다. 공격자들은 패치가 잘 이루어지지 않다고 알려져 있는 리눅스 시스템을 악의적으로 이용하여 디도스 공격을 감행하려 한다. 따라서 리눅스 관리자들은 이번 보안 위협에 대해 잘 알고 이에 대비해야 한다”고 말했다.


디도스 봇넷이 리눅스 시스템을 위협

리눅스 상에서 디도스봇넷(DDoS Botnet)으로 인한lptabLes와 lptabLex 대규모 감염은 아파치 스트럿츠(Apache Struts), 톰캣(Tomcat) 및 엘라스틱서치(Elasticsearch) 내 취약점을 이용해 발생하는 것으로 보인다.


공격자들은 일반적으로 패치업데이트 등 상대적으로 관리가 허술한 서버들 상의 리눅스 운영체제가 가진 취약점들을 이용하여 시스템에 접근하고 원격으로 조종하여 시스템에 악성코드를 유포해 왔다. 따라서 감염이 된 시스템들은 디도스 봇넷의 일부로서 원격 통제가 가능하다.


감염 이후의 증상은 다음과 같다. 일단 시스템에 감염이 되면 페이로드(payload) 스크립트명이 부트디렉토리(/boot directory)에서 .IptabLes 혹은 .IptabLex로 나타난다. 이 스크립트 파일들은 재부팅시에 .IptabLes 바이너리를 실행한다.

또한 이 악성코드는 자체업데이트가 되어 감염된 시스템이 호스트에 접속하여 파일을 다운로드 할 수 있게 한다. 자체 실험 결과 감염된 시스템이 아시아 지역의 두 개의 서로 다른 IP주소로 접속하려 시도하는 것을 확인 할 수 있었다.


디도스 공격의 대부분의 진원지는 아시아

IptabLes와 IptabLex의 명령 및 제어 센터(command and control center)는 현재 아시아에 위치해 있다. 비록 아시아에서 시작된 것으로 알려졌지만, 이 감염 시스템은 현재 미국을 비롯한 여러 지역의 서버에서 발생하고 있다. 과거 디도스봇 감염이 주로 러시아에서 시작되었던 것과 달리 현재는 대부분의 디도스 공격이 아시아에서 발생하고 있다.


디도스 공격의 발견, 방지 및 완화

리눅스 시스템 상에서 발생하는 IptabLes와 IptabLex 감염을 발견하고 방지하기 위해서는 리눅스 서버와 안티바이러스 진단(antivirus detection) 프로그램을 패치받고 강화해야 한다. 프로렉식 보안 엔지니어링 및 리서치 팀은 보안 경고 전문을 통해 감염된 시스템을 치료하기 위한 배쉬 명령어(Bash command)를 제공한다.


프로렉식은 레이트 리미팅(Rate Limiting) 기술을 제공해 DDoS 공격에 대한 대응 능력을 강화했다. 또한 야라(YARA)방식(Yara rule: 악성코드 위협을 확인하고 정리하기 위해 고안된 오픈소스 툴)을 공유하여 ELF IptabLes Payload를 확인할 수 있도록 하였다.


아카마이의 프로렉식 엔지니어링 및 리서치 팀은 악성코드가 확산되어 추가적인 감염이 일어날 것으로 예상하고 있다.

[정규문 기자(kmj@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>