전 세계 리눅스 서버 노리는 공격, 9개월 동안 몰랐다

Tor2Web 서비스 활용하고 있어 추적도 불가능
인터넷 연결된 서버 노려...미국과 한국의 일부 IP는 예외

[보안뉴스 문가용 기자] 최근 리눅스 서버들을 표적으로 삼는 새로운 멀웨어가 발견됐다. 이 멀웨어는 Go언어로 프로그래밍 되어 있고, 또 인터넷에 연결된 SSH 서버를 침해하기 때문에 고스캔SSH(GoScanSSH)라는 이름이 붙었다. C&C 인프라는 Tor2Web 프록시 서버로 구축되어있어 추적이 불가능하다고 한다.

[이미지 = iclickart]

이를 발견하고 분석한 탈로스 팀은 “고스캔SSH 운영자들이 적어도 7000개의 사용자 이름 및 비밀번호 콤비네이션을 보유하고 있고, 이것을 가지고 서버들을 침해한다”고 분석하고 있다. 서버를 침해한 이후에는 고유한 고스캔SSH 바이너리를 만들어 서버에 업로드한 후 실행시키는 것으로 보고 있다.

즉 이들이 노리는 것은 디폴트 혹은 매우 약한 크리덴셜로 보호되어 있는 리눅스 기반 기기들이라는 것이다. 이 7000개의 사용자 이름은 admin, guest, oracle, osmc, pi, root, test, ubnt, ubuntu, user 따위라고 한다.

“공격자들이 표적으로 삼고 있는 건 오픈 엠베디드 리눅스 엔터테인먼트 센터(Open Embedded Linux Entertainment Center, OpenELEC), 라즈베리파이, 오픈소스 미디어 센터(Open Source Media Center, OSMC), 탈옥된 아이폰, 유비키티 기기, 폴리콤 SIP(PolyCom SIP) 전화기, 화웨이 기기입니다. 많은 사람들이 사용하는, 흔한 비밀번호들로 뚫고 들어가죠.”

탈로스는 고스캔SSH 샘플을 약 70여개 발견했다. 전부 고유한 것들이었으며 x86, x86_64, ARM, MIPS64 등 다양한 시스템 구조를 노리고 만들어진 것들이었다.

감염을 성공시키고 나서 멀웨어는 일단 시스템부터 조사한다. 얼마나 강력한지, 또 해시 계산을 일정 시간 내 얼마나 해낼 수 있는지를 가늠하기 위해서다. 그리고 이 정보를 C&C 서버로 전송한다.

또한 이 멀웨어는 Tor에서 호스팅된 C&C 도메인에 접근하도록 설계되어 있다. 이 때 Tor2Web 프록시 서비스를 사용하기 때문에 Tor 클라이언트를 따로 설치할 필요가 없다. 봇과 서버 간 통신 역시 인증 단계를 거치기 때문에 하이재킹 당할 염려가 없다.

고스캔SSH는 인터넷에 연결된 취약한 SSH 서버들을 스캔하고 식별해낸다. 이를 위해 무작위로 IP 주소들을 생성하되 특수한 사용 목적을 가진 주소들은 피한다. 이 특수한 주소들은 미국 국방부에 할당된 IP와 한국의 한 조직에 할당된 것들이라고 탈로스는 설명한다.

고스캔SSH는 선택된 IP 주소로 TCP 연결을 시도하며, 성공할 경우 IP 주소가 도메인 이름과 잘 맞는지 확인한다. 여기까지 성공하면 해당 도메인이 정부나 군 관련 단체와 연관이 있는지 확인하고, 그렇다면 연결을 종료시킨다.

SSH가 스캐닝을 시작하기 전에 고스캔SSH는 C&C 서버로부터 응답을 기다린다. 응답이 오지 않으면 슬립모드로 남아 있는다.

탈로스는 침해된 호스트들이 점점 증가하고 있는 추세라고 분석한다. 한 C&C 도메인의 주소 확인 시도가 계속해서 증가하고 있기 때문이다. “가장 오래된 확인 날짜는 2017년 6월 19일이었습니다. 즉 이 공격이 적어도 9개월 간 지속되어 왔다는 뜻이죠.”

“인터넷에 노출된 서버는 사이버 공격자들의 노크를 끊임없이 받을 수밖에 없습니다. 조직들은 이러한 서버를 최소한으로 보유하고, 또 항상 우선순위를 두고 보호해야 합니다. 디폴트 크리덴셜은 서버를 설치하자마자 제거하는 것은 기본입니다. 항상 모니터링하고 수상한 행동이 나타나지는 않는지도 감시해야 하고요.”
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)