CMS 대상 공격과 달리 또 다른 서버를 탐색, 악성코드 유포가 특징 \r\n

기존, 서버를 대상으로 하는 악성코드와 달리, 주변 시스템으로 악성코드를 유포하는 새로운 웜타입의 백도어(Java.Tomdep) 발견되어 사용자 및 보안 담당자들의 각별한 주의가 요구된다.

\r\n

시만텍은 최근, Apache Tomcat 운용 서버에서 웜타입의 백도어를 발견했다고 밝혔다. 또한, 기존 웹사이트를 구성하고 있는 콘텐츠를 효율적으로 관리할 수 있도록 도와주는 시스템인 CMS(Contents Management System) 대상 공격과 달리 또 다른 서버를 탐색하고, 악성코드 유포하는 특징이 있다고 덧붙였다.

기존의 서버대상 악성코드는 주로, PHP로 작성되고, Wordpress와 같은 CMS 시스템을 공격해 웹페이지 방문자에 악성코드를 내려 받게 하는 드라이브 바이(Drive-by)다운로드 또는 악성코드 유포지로 Redirection하기 위해 JavaScript 또는 HTML 코드를 삽입하는 워터 홀(water hole)과 같은 공격 형태였다.

그러나 최근 발견된 공격 형태는 주변 시스템으로 악성코드를 유포하는 새로운 웜타입의 백도어(Java.Tomdep)이다. 특히, 이번에 발견된 악성코드는 Java Servlet 형태로, Apache Tomcat 서버를 공격하는 것뿐만 아니라, 또 다른 Tomcat 서버를 탐색하고 악성코드를 유포해 DDoS 공격 등에 사용되는 형태이다.

이와 관련 시만텍은 “명령·제어(C&C) 서버가 대만과 룩셈부르크에 위치하고 있었으며, 탐지된 서버기반 봇넷은 아직 구축 초기단계로, DDoS 공격을 위해, 규모 확장 중이었다”고 밝혔다.

좀더 자세한 사항은 인터넷진흥원이 제시한 다음 사이트를 참고하면 된다.

http://www.infosecurity-magazine.com/view/35776/symantec-finds-the-early-stages-of-a-serverbased-botnet-build ( 2013.11.22 )

http://news.softpedia.com/news/Apache-Tomcat-Servers-Targeted-by-Self-Replicating-Malware-402549.shtml ( 2013.11.21 )

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>