¾È·¦ ASEC ºÐ¼®ÆÀ, ¾²³ª¹Ì µðµµ½º °ø°Ý Ä·ÆäÀÎ ºÐ¼®...°ø°ÝÀÚ¿Í Åë½ÅÇÏ´Â ¡®IRC º¿¡¯ Ư¡
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ¸®´ª½º SSH ¼¹ö¸¦ ´ë»óÀ¸·Î ¾²³ª¹Ì µðµµ½º º¿(Tsunami DDoS Bot)À» ¼³Ä¡ÇÏ°í ÀÖ´Â °ø°Ý Ä·ÆäÀÎÀÌ ÃÖ±Ù È®ÀεƴÙ. ÇØ´ç °ø°ÝÀÚ´Â ¾²³ª¹Ì»Ó¸¸ ¾Æ´Ï¶ó ShellBot, XMRig ÄÚÀÎ ¸¶À̳Ê, Log Cleaner µî ´Ù¾çÇÑ ¾Ç¼ºÄÚµåµéÀ» ¼³Ä¡ÇÏ´Â °ÍÀ¸·Î µå·¯³µ´Ù. ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ¸®´ª½º SSH ¼¹ö ´ë»ó °ø°ÝÀº ÀϹÝÀûÀ¸·Î µðµµ½º º¿(DDoS Bot)À̳ª ÄÚÀÎ ¸¶ÀÌ³Ê ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÏ´Â »ç·Ê°¡ ´ëºÎºÐÀÌ´Ù.
¡ã¾²³ª¹Ì µðµµ½º º¿°ú Ziggy ¼Ò½ºÄÚµå¿ÍÀÇ ºñ±³[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀÀº ÃÖ±Ù ¾²³ª¹Ì µðµµ½º °ø°Ý Ä·ÆäÀο¡ ´ëÇÑ ºÐ¼® °á°ú¸¦ ¹ßÇ¥Çß´Ù. ¾²³ª¹Ì´Â Ä«ÀÌÅÙ(Kaiten)À̶ó°íµµ ºÒ¸®´Â µðµµ½º º¿À̸ç, ÀϹÝÀûÀ¸·Î Ãë¾àÇÑ IoT ÀåºñµéÀ» ´ë»óÀ¸·Î ¹Ì¶óÀÌ(Mirai) ¹× °¡ÇÁÁþ(Gafgyt)°ú ÇÔ²² ²ÙÁØÈ÷ À¯Æ÷µÇ°í ÀÖ´Â ¾Ç¼ºÄÚµå Áß Çϳª´Ù. ÇØ´ç ¾Ç¼ºÄÚµå ¸ðµÎ µðµµ½º º¿À̶ó´Â °øÅëÁ¡ÀÌ ÀÖÁö¸¸, ¾²³ª¹Ì´Â ƯÈ÷ IRC(Internet Relay Chat)¸¦ ÀÌ¿ëÇØ °ø°ÝÀÚ¿Í Åë½ÅÇÏ´Â ÇüÅÂÀÇ IRC º¿À̶ó´Â Á¡ÀÌ ´Ù¸£´Ù.
¾²³ª¹Ì´Â ¼Ò½ºÄڵ尡 °ø°³µÅ ´Ù¾çÇÑ °ø°ÝÀÚµéÀÌ »ç¿ëÇϸç, ƯÈ÷ IoT ÀåºñÀÇ °ø°Ý ºñÁßÀÌ ³ô´Ù. À̹ø ºÐ¼® °á°ú´Â °ø°ÝÀÚ°¡ ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â SSH(Secure Shell) ¼¹ö¸¦ ´ë»óÀ¸·Î »çÀü °ø°ÝÀ» °¨ÇàÇØ µðµµ½º º¿ ¹× XMRig ÄÚÀÎ ¸¶ÀÌ³Ê ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÑ »ç·Ê¸¦ Á¤¸®ÇÑ °ÍÀÌ´Ù.
¾²³ª¹Ì µðµµ½º ¾Ç¼ºÄڵ尡 ¸®´ª½º ¼¹ö¿Í °°ÀÌ ¼¹ö ȯ°æÀ» ´ë»óÀ¸·Î ÇÏ´Â °ø°Ý º¤Åͷδ ´ëÇ¥ÀûÀ¸·Î ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ¼ºñ½º°¡ ÀÖ´Ù. Secure Shell(SSH) ¼ºñ½º´Â ´ëºÎºÐÀÇ ¸®´ª½º ¼¹ö ȯ°æ¿¡ ¼³Ä¡µÅ ÀÖÀ¸¸é¼ ½±°Ô °ø°Ý¿¡ »ç¿ëÀÌ °¡´ÉÇÏ°í, ºÎÀûÀýÇÏ°Ô °ü¸®µÇ±â ½¬¿î ¼ºñ½º´Ù. SSH´Â °ü¸®ÀÚ°¡ ¿ø°Ý¿¡¼ ·Î±×ÀÎÇØ ½Ã½ºÅÛÀ» Á¦¾îÇÒ ¼ö ÀÖ°Ô ÇØÁִµ¥, À̸¦ À§ÇØ ½Ã½ºÅÛ¿¡ µî·ÏµÈ »ç¿ëÀÚ °èÁ¤¿¡ ·Î±×ÀÎÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.
¡ã¾²³ª¹Ì µðµµ½º º¿ÀÌ Áö¿øÇÏ´Â ´Ù¾çÇÑ µðµµ½º °ø°Ý ¸í·Éµé[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾²³ª¹Ì µðµµ½º ¾Ç¼ºÄÚµå´Â ·Î±×Àο¡ ¼º°øÇÑ ÀÌÈÄ °ø°ÝÀڴ ƯÁ¤ ¸í·ÉÀ» ½ÇÇàÇØ ´Ù¾çÇÑ ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇÏ°í ½ÇÇàÇÑ´Ù. ¼³Ä¡µÇ´Â ¾Ç¼ºÄÚµåµé Áß ¡¯key¡® ÆÄÀÏÀº Ãß°¡·Î ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÏ´Â ´Ù¿î·Î´õ À¯ÇüÀÇ Bash ½ºÅ©¸³Æ®´Ù. ´Ù¿î·Îµå ¿Ü¿¡µµ °¨¿° ½Ã½ºÅÛÀ» Á¦¾îÇϱâ À§ÇØ ´Ù¾çÇÑ »çÀü ÀÛ¾÷µéÀ» ¼öÇàÇϸç SSH ¹éµµ¾î °èÁ¤À» ¼³Ä¡ÇÏ´Â ±â´Éµµ Æ÷ÇԵƴÙ.
SSH ¿ø°Ý ¼¹ö¿¡ ·Î±×ÀÎÇÏ´Â ¶Ç ´Ù¸¥ ¹æ½ÄÀº °ø°³Å°¡¤°³ÀÎÅ°¸¦ »ý¼ºÇØ ¾ÆÀ̵ð¿Í Æнº¿öµå ÀÔ·Â ¾øÀÌ ·Î±×ÀÎÇÏ´Â ¹æ½ÄÀÌ ÀÖ´Ù. À̸¦ À§ÇØ »ç¿ëÀÚ´Â SSH °ø°³Å°¡¤°³ÀÎÅ°¸¦ »ý¼ºÇÑ ÈÄ Á¢¼Ó ´ë»ó ¼¹ö¿¡ °ø°³Å°¸¦ µî·ÏÇϸç, ±× ÀÌÈÄ Å¬¶óÀ̾ðÆ®¿¡¼ °³ÀÎÅ°¸¦ ÀÌ¿ëÇØ Á¢¼ÓÇÒ ¼ö ÀÖ´Ù. °ø°ÝÀÚ´Â ÇØ´ç ¸í·ÉÀ» ÀÌ¿ëÇØ »õ·Î¿î °ø°³Å°¸¦ ¡®authorized_keys¡¯ ÆÄÀÏ¿¡ »ç¿ëÇÑ´Ù. ÀÌ¿¡ µû¶ó ÃßÈÄ ÇØ´ç °ø°³Å°¿¡ »óÀÀÇÏ´Â °³ÀÎÅ°¸¦ ÀÌ¿ëÇØ °¨¿° ½Ã½ºÅÛ¿¡ ·Î±×ÀÎÇÒ ¼ö ÀÖ´Ù.
¾²³ª¹Ì µðµµ½º ¾Ç¼ºÄÚµå Áß ¸ÕÀú ¾²³ª¹Ì´Â ¼Ò½ºÄڵ尡 °ø°³µÅ ´Ù¾çÇÑ °ø°ÝÀÚµéÀÌ °ø°Ý¿¡ »ç¿ëÇÏ°í ÀÖ´Ù. °ø°ÝÀÚµéÀº ±âÁ¸ Ä«ÀÌÅÙÀÇ ¼Ò½ºÄڵ带 ¼öÁ¤ÇØ ´õ ¸¹Àº ±â´ÉÀ» Ãß°¡Çϱ⵵ Çϴµ¥, °ø°Ý¿¡ »ç¿ëµÈ ¾²³ª¹Ì´Â Áö±â(Ziggy)¶ó°í À̸§ ºÙ¿©Áø Ä«ÀÌÅÙÀÇ ´Ù¾çÇÑ º¯Á¾ Áß Çϳª´Ù. ½ÇÁ¦ help ¸í·É¿¡¼ º¸¿©ÁÖ´Â ¼³¸íµéÀ» ºñ±³ÇØ º¸¸é ¼Ò½ºÄÚµå¿Í °°´Ù.
¡ã½©º¿ÀÇ ¼³Á¤ µ¥ÀÌÅÍ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾²³ª¹Ì ¾Ç¼ºÄÚµåÀÇ Æ¯Â¡ Áß Çϳª´Â ¸í·ÉÁ¦¾î(C&C) ¼¹ö¿ÍÀÇ Åë½Å¿¡ IRC ÇÁ·ÎÅäÄÝÀ» ÀÌ¿ëÇÑ´Ù´Â Á¡ÀÌ´Ù. IRC´Â 1988³â °³¹ßµÈ ½Ç½Ã°£ ÀÎÅÍ³Ý Ã¤Æà ÇÁ·ÎÅäÄÝÀÌ´Ù. »ç¿ëÀÚµéÀº ƯÁ¤ IRC ¼¹öÀÇ Æ¯Á¤ ä³Î¿¡ Á¢¼ÓÇØ °°Àº ä³Î¿¡ Á¢¼ÓÇÑ ´Ù¸¥ »ç¿ëÀÚµé°ú ½Ç½Ã°£À¸·Î äÆÃÀ» ÇÒ ¼ö ÀÖ´Ù. IRC º¿Àº ÀÌ·¯ÇÑ IRC¸¦ ¾Ç¿ëÇØ C&C ¼¹ö¿ÍÀÇ Åë½Å¿¡ »ç¿ëÇÏ´Â º¿ ¾Ç¼ºÄÚµå´Ù.
°¨¿° ½Ã½ºÅÛ¿¡ ¼³Ä¡µÈ IRC º¿Àº IRC ÇÁ·ÎÅäÄÝ¿¡ µû¶ó °ø°ÝÀÚ°¡ ÁöÁ¤ÇÑ IRC ¼¹öÀÇ Ã¤³Î¿¡ Á¢¼ÓÇϸç, Å»ÃëÇÑ Á¤º¸¸¦ ÇØ´ç ä³Î¿¡ Àü´ÞÇϰųª °ø°ÝÀÚ°¡ ƯÁ¤ ¹®ÀÚ¿À» ÀÔ·ÂÇÒ °æ¿ì À̸¦ ¸í·ÉÀ¸·Î Àü´Þ¹Þ¾Æ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù. IRC´Â ÀÌ¹Ì Á¸ÀçÇÏ´Â IRC ÇÁ·ÎÅäÄÝÀ» ÀÌ¿ëÇÏ°í ±âÁ¸ IRC ¼¹ö¸¦ È°¿ëÇÒ ¼ö ÀÖ¾î °ú°ÅºÎÅÍ ¾Ç¼ºÄÚµåµé¿¡ ÀÇÇØ ²ÙÁØÈ÷ »ç¿ëµÆ´Ù.
¾²³ª¹Ì´Â ½ÇÇàµÇ¸é ¡®/etc/rc.local¡¯ ÆÄÀÏ¿¡ ÀÚ½ÅÀÇ °æ·Î¸¦ ½á¼ ÀçºÎÆà ÀÌÈÄ¿¡µµ ½ÇÇàµÉ ¼ö ÀÖµµ·Ï ÇÑ´Ù. ÀÌÈÄ ÇöÀç ½ÇÇà ÁßÀÎ ÇÁ·Î¼¼½ºÀÇ À̸§À» ¡®[kworker/0:0]¡¯·Î º¯°æÇÏ·Á°í Çϴµ¥, ÀÌ´Â »ç¿ëÀÚ°¡ ÀÎÁöÇϱ⠾î·Æ°Ô ÇÏ·Á´Â ¸ñÀû¿¡¼´Ù. ÀÌ °úÁ¤ÀÌ ³¡³ª¸é IRC ¼¹ö¿¡ Á¢¼ÓÇÏ°í ä³Î¿¡ ÀÔÀåÇØ °ø°ÝÀÚÀÇ ¸í·ÉÀ» ±â´Ù¸°´Ù.
C&C ¼¹öÀÇ ÁÖ¼Ò³ª ä³ÎÀÇ ºñ¹Ð¹øÈ£ µîÀÇ Á¤º¸µéÀº ¾ÏȣȵŠÀúÀåµÈ´Ù. À̶§ ¾²³ª¹Ì´Â ½ÇÇà Áß ÇÊ¿äÇÑ ¹®ÀÚ¿µéÀ» º¹È£ÈÇÑ´Ù. ¶ÇÇÑ, C&C ¼¹öÀÇ ÁÖ¼Ò´Â 2°³ÀÌ¸ç ·£´ýÇÏ°Ô ¼±ÅõŠÁ¢¼ÓÀ» ½ÃµµÇÑ´Ù. C&C ¼¹ö ÁÖ¼Ò¸¦ Æ÷ÇÔÇÑ ´Ù¾çÇÑ ¼³Á¤ µ¥ÀÌÅ͸¦ Á¤¸®ÇÏ¸é ¡â¹öÀü ¡â¾ÆÅ°ÅØó ¡âÀ§Àå À̸§ ¡âC&C ¼¹ö(IRC) ¡âIRC ä³Î À̸§ ¡âIRC ä³Î ºñ¹Ð¹øÈ£ ¡âÈ°¼ºÈ¡¤ºñÈ°¼ºÈ ºñ¹Ð¹øÈ£ ¡â´Ù¿î·Î´õ ¸ñÀûÀÇ ±âº» HTTP ¼¹ö ÁÖ¼Ò µîÀ¸·Î Á¤¸®ÇÒ ¼ö ÀÖ´Ù.
¡ãÁö¿øÇÏ´Â ÁÖ¿ä ¸í·Éµé ¸ñ·Ï[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°í ÀÖ´Â ¸®´ª½º SSH ¼¹ö¸¦ ´ë»óÀ¸·Î ÇÏ´Â °ø°ÝÀº °ú°ÅºÎÅÍ ²ÙÁØÈ÷ ÁøÇàµÇ°í ÀÖ´Ù. °ø°ÝÀÚ´Â °¨¿° ½Ã½ºÅÛ¿¡ ¾²³ª¹Ì, ½©º¿ µî°ú °°Àº µðµµ½º º¿°ú ÇÔ²² XMRig ÄÚÀÎ ¸¶À̳ʸ¦ ¼³Ä¡Çß´Ù.
ÄÚÀÎ ¸¶À̳ʰ¡ ¼³Ä¡µÈ ȯ°æ¿¡¼´Â ½Ã½ºÅÛÀÇ ÀÚ¿øÀ» ÀÌ¿ëÇØ °ø°ÝÀÚÀÇ ¸ð³×·Î ÄÚÀÎÀ» ä±¼ÇÏ°Ô µÈ´Ù. ÀÌ¿Ü¿¡µµ ÇÔ²² ¼³Ä¡µÈ µðµµ½º º¿À» ÀÌ¿ëÇØ µðµµ½º °ø°Ý¿¡µµ È°¿ëµÉ ¼ö ÀÖÀ¸¸ç, Ãß°¡ÀûÀÎ ¾Ç¼º ¸í·ÉÀ» ½ÇÇàÇÒ ¼öµµ ÀÖ´Ù. ÀÌ·¯ÇÑ ¾Ç¼ºÄÚµåµéÀÌ Á¦°ÅµÆ´Ù ÇÏ´õ¶óµµ °ø°ÝÀÚ´Â ÇÔ²² ¼³Ä¡ÇÑ SSH ¹éµµ¾î °èÁ¤À» ÀÌ¿ëÇØ ´Ù½Ã ·Î±×ÀÎÇÑ ÈÄ, ¶Ç ´Ù¸¥ ¾Ç¼ºÄڵ带 ¼³Ä¡Çϰųª ½Ã½ºÅÛ ³»ÀÇ Á¤º¸¸¦ Å»ÃëÇÏ´Â µî ´Ù¾çÇÑ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù.
¡ãXMRing ½ÇÇà È帧[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀ °ü°èÀÚ´Â ¡°°ü¸®ÀÚµéÀº °èÁ¤ÀÇ ºñ¹Ð¹øÈ£¸¦ ÃßÃøÇϱ⠾î·Á¿î ÇüÅ·Π»ç¿ëÇÏ°í ÁÖ±âÀûÀ¸·Î º¯°æÇØ ¹«Â÷º° ´ëÀÔ °ø°Ý°ú »çÀü °ø°ÝÀ¸·ÎºÎÅÍ ¸®´ª½º ¼¹ö¸¦ º¸È£ÇØ¾ß Çϸç, ÃֽŠ¹öÀüÀ¸·Î ÆÐÄ¡ÇØ Ãë¾àÁ¡ °ø°ÝÀ» ¹æÁöÇØ¾ß ÇÑ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°¿ÜºÎ¿¡ ¿ÀǵŠ¼Õ½±°Ô Á¢±Ù °¡´ÉÇÑ ¼¹ö´Â ¹æȺ®°ú °°Àº º¸¾È Á¦Ç°À» ÀÌ¿ëÇØ °ø°ÝÀڷκÎÅÍÀÇ Á¢±ÙÀ» ÅëÁ¦ÇØ¾ß ÇÑ´Ù¡±¸ç ¡°¸¶Áö¸·À¸·Î V3 µî ¹é½ÅÀ» ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ ¾Ç¼ºÄÚµåÀÇ °¨¿°À» »çÀü¿¡ Â÷´ÜÇÒ ¼ö ÀÖµµ·Ï ½Å°æ½á¾ß ÇÒ °Í¡±À̶ó°í °Á¶Çß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>