리눅스 기반 비지박스 설치된 기기 노리는 새로운 취약점

디도스 공격 및 브루트포스 공격 가능 - 디폴트 암호 변경해야

[보안뉴스 문가용] 트렌드 마이크로는 최근 쉘쇼크 취약점(CVE-2014-6271)을 악용하는 배시라이트(Bashlite)라는 멀웨어가 등장했음을 경고했다. 또한 이 멀웨어의 주 목적은 비지박스(BusyBox)를 사용하는 기기들에 대한 제어 권한을 탈취하는 것임 역시 밝혔다.

비지박스는 리눅스 커널 위에 구축된 것으로 라우터 등에 특히 널리 활용되고 있다. 트렌드 마이크로에 따르면 배시라이트의 최근 샘플들을 조사한 결과 비지박스 기기들이 연결되어 있는 네트워크를 스캔한 후 사용자 ID와 암호로 로그인을 시도한다. 그런 후 bin.sh와 bin2.sh 스크립트를 다운로드해 실행시킨다. 성공적으로 진행될 경우 비지박스 시스템에 대한 전체 권한을 가져올 수 있게 된다.

“한 번 제어 권한을 가져오면 공격자의 목적이나 의도에 따라 추가로 멀웨어나 악성 요소를 다운로드하고 실행시켜서 다음 공격을 실행이 가능한 상태가 됩니다. 결국 애초에 배시라이트를 활용한 이유가 중요한 것이죠.” 트렌드 마이크로의 위협 대응 엔지니어인 레나 이노센시오(Rhena Inocencio)의 설명이다.

쉘쇼크 소식이 터진 후부터 해커들은 이를 활용하기 위한 여러 가지 방법을 고안해냈다. SMTP 서버를 노리는 공격도 있었고 취약한 시스템들을 연결해 봇넷을 구축하는 식의 공격도 등장했다. 또한 SERT는 쉘쇼크 관련 공격에 당한 시스템들 중 67%가 이전부터 공격을 당해왔던 것이라는 조사 결과를 발표하기도 했다. 즉, 해커들이 새로운 정보를 습득해 정말 속도감 있게 적용해가고 있다는 뜻이다.

“9월말 쉘쇼크 취약점에 대한 소식이 처음 나오고 얼마 지나지 않아 - 사실 24시간도 채우기도 전에 - 쉘쇼크를 활용한 공격 소식이 들려왔습니다. 쉘쇼크를 사용하는 공격자들이 SMTP 서버를 공격하고, 봇넷을 만들더라고요. 심지어 KAITEN 소스 코드를 다운로드하기도 하고요. 취약점에 대한 해커들의 소름끼치는 적응력이 놀라웠던 사건이었습니다.”

배시라이트의 첫 변종 ELF_BASHLITE.A는 디도스 공격을 실행하는 기능과 사용자 정보 데이터베이스로부터 암호와 ID를 추출해 감행하는 브루트포스 기능을 가지고 있다. 가장 최근 변종인 EFL_BASHLITE.SMB는 사용자가 우연히 악성 사이트에 들어갔을 때 다운로드 되는 것으로 설치된 다음 원격에서 멀웨어를 조정하는 해커가 명령을 실행할 수 있게 해준다.

특히 첫 변종(ELF_BASHLITE.A)은 해커의 Scanner On 명령이 있을 시 비지박스를 활용해 gayfgt라는 스트링을 반복한다. 이로서 침투한 기기에 비지박스가 있는지 없는지 확인하는 것이다. Scanner On이란 명령이 제대로 작동하면 텔넷 프로세스가 무작위로 생성된 IP 주소의 23번 포트로 연결을 시도한다. 즉 원격에서 로그인이 가능하게 하는 것이다. 이때 사용하는 로그인 ID와 암호에는 root, admin, support 등이 있다.

“지금으로서는 사용자들이 디폴트 ID와 암호를 바꾸는 것이 최선의 방책인 것 같습니다. 지금 이 멀웨어가 시도하는 ID와 암호들을 보면 대부분 디폴트 설정에서 이루어지는 것이거든요. 약간의 부지런함이 필요합니다.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>