ChinaZ DDoS Bot 악성코드, 리눅스 SSH 서버 대상 유포 중

입력 : 2023-03-22 18:30

부적절하게 관리되거나 최신 버전 패치 안 된 공격에 취약한 서비스 대상 공격 발견
ChinaZ DDoSClient는 오픈소스 악성코드...실행 시 ‘declient’라는 이름으로 위장

[보안뉴스 김영명 기자] 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ChinaZ DDoS Bot 악성코드들이 설치되고 있는 것이 확인됐다. ChinaZ 그룹은 2014년 즈음부터 확인된 중국의 공격그룹 중 하나로서 윈도 및 리눅스 시스템들을 대상으로 다양한 DDoS Bot들을 설치하고 있다. ChinaZ 공격 그룹이 제작한 것으로 알려진 DDoS Bot 악성코드들로는 대표적으로 XorDDoS, AESDDos, BillGates, MrBlack 등이 있다. 여기서는 ChinaZ 또는 ChinaZ DDoSClient라고 불리는 DDoS Bot에 대해 살펴본다.


안랩 ASEC 분석팀은 최근 리눅스 SSH 서버 대상 공격 캠페인을 진행하고 있는 ChinaZ DDoS Bot 악성코드를 분석했다. 일반 사용자들의 주요 작업 환경인 데스크톱과 달리 서버는 주로 특정 서비스를 제공하는 역할을 담당한다. 이에 따라 데스크톱 환경에서는 악성코드가 주로 웹 브라우저 또는 메일 첨부 파일을 통해 침투하며 공격자들 또한 악성코드 설치를 유도하기 위해 정상 프로그램으로 위장해 악성코드를 유포한다. 서버 환경을 대상으로 하는 공격자들은 이러한 방식으로 악성코드를 유포하는 데 한계가 존재하기 때문에 부적절하게 관리되고 있거나 최신 버전으로 패치를 하지 않아 취약점 공격에 취약한 서비스들을 대상으로 공격한다.

부적절하게 관리되고 있는 서비스로는 대표적으로 단순한 형태의 계정정보를 사용함에 따라 사전 공격에 취약한 유형이 있다. 예를 들어 윈도 운영체제를 대상으로 하는 주요 공격 벡터 중 하나인 Remote Desktop Protocol(RDP) 및 MS-SQL 서비스가 대표적이다. 리눅스 서버 환경에서는 주로 Secure Shell(SSH) 서비스가 공격 대상이 되며, 오래된 리눅스 서버 또는 임베디드 리눅스 운영체제가 설치된 IoT 환경에서는 Telnet 서비스가 사전 공격 대상이 되기도 한다.

ChinaZ 공격그룹의 ChinaZ DDoSClient는 공격자가 스캐너 및 SSH BruteForce 악성코드들에 의해 획득한 계정정보를 이용해 설치된 것으로 추정된다. 공격자는 22번 포트인 SSH 서비스가 동작하는 시스템들을 스캐닝한 후, SSH 서비스가 동작 중인 시스템을 찾고, 흔히 사용되는 SSH 계정정보를 이용해 사전 공격을 진행했다.

ChinaZ를 설치한 공격자는 로그인 이후 특정 명령들을 이용해 ChinaZ를 리눅스 서버에 설치했다. 공격자는 방화벽을 비활성화하고 wget을 이용해 x86 및 x64 아키텍처로 빌드된 ChinaZ DDoSClient를 설치했다. 이후 root 계정으로 로그인, 다운로드한 악성코드들은 /root 경로에 설치됐다. 또한, 설치한 ChinaZ를 실행했으며, 지속성 유지를 위해 rc.local에 등록해 재부팅 이후에도 동작할 수 있도록 설정했다.

ChinaZ DDoSClient(Linux)는 아키텍처에 따라 ‘Linux32’ 또는 ‘Linux64’라는 이름으로 설치됐다. ChinaZ는 바이너리에 디버그 정보가 포함됐기 때문에 제작자가 설정한 다양한 정보들을 획득할 수 있으며, 심지어 소스코드도 공개돼 있는 일종의 오픈소스 악성코드다.

ChinaZ는 실행 시 ‘declient’라는 이름으로 위장하는데, 이를 위해 prctl() 함수의 인자로 ‘PR_SET_NAME’를 ‘declient’라는 이름으로 설정하는 방식이 사용된다. 이에 따라 ‘pstree’ 명령이나 ‘/cat /proc/[pid]/comm’과 같은 명령으로 현재 실행 중인 프로세스를 검사할 경우 ‘declient’라는 프로세스가 확인된다.


코드에서 보이는 ‘MK64_SecurtDoor’ 문자열은 공격자가 지정한 Logo 문자열로서 과거부터 확인되고 있는 문자열 중 하나다. 해당 악성코드는 x86 아키텍처 기준이며, x64 아키텍처 바이너리에서는 ‘ceS_46KM’라는 이름이 Logo 문자열로 사용된다.

ChinaZ는 C&C 서버의 주소를 인코딩해 갖고 있는데, CSocketManager::Initalize() 메서드에서 간단한 복호화 루틴을 통해 C&C 서버의 주소를 구할 수 있다. 실질적인 기능은 CSocketManager::Woring() 메서드에서 담당하는데, 먼저 CSocketManager::GetOnlineInfo() 메서드에서 감염 시스템의 기본적인 정보를 수집한 이후 C&C 서버에 전달한다. 공개된 소스 코드에 따르면 전달하는 정보는 LOGININFO 구조체다.


감염 시스템에서 정보를 수집하는 과정은 다음과 같은 루틴을 통해 이루어진다. 단순하게 uname()과 같은 함수를 이용하는 방식부터 ‘cat’이나 ‘ethtool’ 명령을 사용하는 등 정보 수집을 위해 다양한 방식들이 사용되는 것이 특징이다.


수집한 정보는 CSocketManager::SendOnlineInfo() 메서드를 통해 C&C 서버에 전달되며, 이후 C&C 서버로부터 전달받은 명령을 통해 악성 행위를 수행할 수 있다. ChinaZ는 공격자의 명령을 받아 악의적인 행위를 수행할 수 있다. 디도스 봇(DDoS Bot)인 ChinaZ는 지원하는 대부분의 명령들이 DDoS 공격인 것이 특징이다. 지원하는 DDoS 공격으로는 SYN, UDP, ICMP, DNS Flood 공격이 있다.


리눅스 SSH 서버를 대상으로 하는 공격에서는 확인되지 않지만, 바이러스토탈(VirusTotal)을 통해 윈도 시스템을 대상으로 하는 PE 포맷의 ChinaZ(ChinaZ DDoSClient)도 확인된다. 이 악성코드는 리눅스 버전과 실질적으로 거의 유사하다.

윈도 버전의 ChinaZ는 리눅스 버전과 유사하게 ‘Declient’라는 이름으로 위장하는데, 이를 위해 %SystemRoot% 경로에 ‘Declient.exe’ 이름으로 자신을 복사하고 Run 키에 등록해 재부팅 이후에도 동작할 수 있도록 한다. C&C 서버의 주소와 일정 시간 이후 동작하는 두 번째 C&C 서버 즉 Backdoor C&C 주소도 기존 리눅스 버전과 동일하다.


감염 시스템에서 수집하는 정보들이 저장되는 LOGININFO 구조체는 리눅스 버전과 동일하지만, 몇 가지 항목들은 사용되지 않는다. Mark 문자열은 리눅스 버전과 동일하게 ‘UST’가 사용됐다. 지원하는 명령의 경우 실질적으로 동일하지만, 리눅스 버전과 비교해서 수량은 적은 편이다. DDoS 공격 명령은 SYN, UDP, ICMP, DNS Flood 4가지 모두 동일하다.


이렇듯 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 공격자들이 ChinaZ DDoS Bot 악성코드를 설치하고 있는 것이 확인됐다. 이러한 유형의 공격들은 과거부터 꾸준히 진행되고 있으며 최근까지도 다수의 공격들이 확인되고 있다. ChinaZ DDoS Bot이 설치될 경우 리눅스 서버는 공격자의 명령을 받아 특정 대상에 대한 DDoS 공격을 수행하는 DDoS Bot으로 사용될 수 있으며, 이외에도 추가 악성코드가 설치되거나 다른 공격에 사용될 수 있다.

안랩 ASEC 분석팀 관계자는 “관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경해 무차별 대입 공격과 사전 공격으로부터 리눅스 서버를 보호해야 하며, 최신 버전으로 패치해 취약점 공격을 예방해야 한다”고 말했다. 이어 “외부에 오픈돼 접근 가능한 서버에 대해 방화벽과 같은 보안 제품을 이용해 공격자로부터의 접근을 통제해야 한다”며 “V3 등 백신을 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

김영명기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  경기남부청, 3,200억원대 가상자산 투자리...

• 2

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 3

  [한국정보공학기술사 보안을 論하다-8] 비대...

• 4

  [bnTV] 美 트럼프 당선에 증시 ‘후끈’...

• 5

  MS의 11월 정기 패치, 91개 취약점 중...

• 1

  [단독] 한국지능정보사회진흥원, 관리자계정 ...

• 2

  소프트웨어 개발사가 진짜 나쁜 놈이라던 CI...

• 3

  [개인정보 보호법 해석 사례-②] CCTV ...

• 4

  도청·불법촬영 예방교육센터, 불법촬영 탐지교...

• 5

  [한국정보공학기술사 보안을 論하다-8] 비대...

• 1

  언더그라운드 랜섬웨어, 텔레그램에 탈취 정보...

• 2

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 3

  [단독] 한국지능정보사회진흥원, 관리자계정 ...

• 4

  이스트시큐리티, 파주 세경고 학생 대상 AI...

• 5

  [bnTV] 블랙프라이데이 시즌, 해외직구 ...