일본과 방글라데시 공격해 호스트 늘린 공격 단체 아웃로가 배후에
대형 기업들 주로 노리고 있는 듯...그러나 대대적 공격 펼쳐지지 않아

[보안뉴스 문가용 기자] 펄(Perl)로 만들어진 IRC 봇이 사물인터넷 장비들과 리눅스 서버를 노리면서 활동하고 있다. 이론상으로는 윈도우 시스템과 안드로이드 장비들도 안전하지 않은 상태라고 보안 업체 트렌드 마이크로(Trend Micro)가 밝혔다.


트렌드 마이크로는 이 봇과 멀웨어에 셸봇(Shellbot)이라는 이름을 붙였다. “셸봇은 현재 아웃로(Outlaw)라는 사이버 공격 단체가 퍼트리고 있습니다. 아웃로는 최근 일본의 한 미술 기관의 FTP 서버와 방글라데시 정부 사이트 하나를 침해했습니다. 그러고 나서는 침해된 서버들을 가용성이 높은 클러스터에 연결시켜 IRC 바운서를 호스팅 하고 봇넷을 제어하기 시작했습니다.”

사실 셸봇이 등장한 건 이번이 처음이 아니다. 이전에는 셸쇼크(ShellShock, 셸쇽)라는 취약점을 익스플로잇 함으로써 배포되고 덩치를 불렸다. 그래서 셸봇이라는 이름이 붙은 것이다. 지난 달에는 드루팔게돈2(Drupalgeddon2) 취약점인 CVE-2018-7600을 통해 퍼지고 있는 것을 IBM이 발견해 세상에 알리기도 했다.

트렌드 마이크로의 보안 전문가들이 이번에 찾아낸 셸봇은 브루트 포스(무작위 대입 기법) 등을 통하여 침해한 호스트를 적극 사용함으로써 배포되고 있었다. 특히 우분투(Ubuntu) 리눅스 시스템과 안드로이드 기반 장비들을 노리고 있었다고 한다.

셸봇의 C&C 트래픽을 관찰 및 추적함으로써 트렌드 마이크로 측은 IRC 채널의 정보를 찾아낼 수 있었고, 약 142개의 호스트들이 해당 채널에서 발견됐다고 한다. 이것이 첫 번째 감염 단계에서 셸봇이 거둔 성과다.

그렇다면 셸봇은 어떤 식으로 호스트들을 감염시키는 것일까? 셸봇은 표적이 되는 시스템에서 명령을 하나 실행시킨다. 이를 통해 해당 시스템이 명령어 인터페이스(CLI)를 통한 명령어 접수 기능을 가지고 있는지 확인하는 것이다. 그렇다면 다음으로 작업용 디렉토리를 /tmp로 바꾸고, 페이로드를 다운로드시킨다. 다운로드 된 페이로드는 펄 인터프리터를 통해 실행된다. 감염의 제일 마지막 단계에서는 페이로드가 삭제된다.

셸봇이 시스템 감염에 성공하고 나면 IRC 채널의 관리자가 셸봇으로 명령어를 전송할 수 있게 된다. 공격자는 주로 포트를 스캔하고 여러 가지 형태의 디도스 명령들을 호스트로 보낸다. 파일을 추가로 다운로드 시키기도 하고, 해당 시스템이나 OS의 정보를 빼내기도 한다. 현재 돌아가고 있는 프로세스에 대한 정보도 캐낸다.

여기에 더해 트렌드 마이크로의 전문가들은 공격자들이 C&C 서버에 호스팅 된 파일들의 내용도 자주 수정한다는 것 또한 알아냈다. 파일의 수정이나 삭제, 추가 등은 중부 유럽 시간대(CET) 기준으로 낮에 주로 일어났다. 하지만 같은 시간대의 밤이나 주말에는 이런 작업이 한 번도 없었다고 한다.

IRC 봇을 공격에 사용한다는 게 기술적으로 굉장히 뛰어나거나 앞서가는 일은 아니다. IRC 봇넷 멀웨어 제작법은 온라인에도 여럿 찾아낼 수 있다고 전문가들은 설명한다. “IRC 봇넷은 앞으로도 자주 등장할 것입니다. 그 때마다 찾아내서 막는 게 중요합니다. 이번의 셸봇 공격은 큰 기업들을 주로 노리고 있는 것으로 보이지만, 아직 대단위 공격이 본격적으로 시작된 건 아닙니다. 앞으로 본색이 드러날 수도 있고, 이러한 보도를 보고 공격자들이 전략을 수정할 수도 있습니다.”

3줄 요약
1. IRC 채널로 통제하는 셸봇, 다시 등장.
2. 공격자들은 아웃로라는 단체인데, 주로 중부 유럽 시간대 기준 낮과 주중에만 활동.
3. 이번 셸봇은 주로 대형 기업 노리는 것으로 보이나 아직 본격적인 공격 시작되지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>