보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

40만 개 이상의 리눅스 서버들을 조용히 감염시킨 에버리

입력 : 2024-05-21 16:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
암호화폐 탈취 및 금융 사고들이 증가하고 있는 가운데, 15년 된 멀웨어 하나가 조용히 자기 역할을 하고 있다는 사실이 밝혀졌다.

[보안뉴스 문가용 기자] 리눅스 기반 봇넷 하나가 왕성하게 활동하기 시작했다. 그러면서 각종 금융 사기와 암호화폐 탈취 공격을 활성화시키는 중이다. 이 봇넷은 에버리(Ebury)인데, 이미 15년 전에 처음 발견된, 고대 유물과 같은 위협이다. 최근에 다시 등장해 벌써 40만 개가 넘는 리눅스 서버들을 공략했다. 보안 업체 이셋(ESET)에 따르면 아직도 침해된 채 복구되지 않은 서버거 10만 개를 넘는다고 한다.

[이미지 = gettyimagesbank]


에버리?
에버리는 오픈SSH 백도어의 하나로, SSH 키나 비밀번호와 같은 크리덴셜들을 훔치는 기능을 가지고 있다. 감염된 서버에 백도어를 생성하며, 이 백도어는 두 번째 멀웨어 모듈을 피해 서버에 한 번 더 심는다. 이 단계에서 여러 가지가 사용되는데, 그 중 하나는 HTTP 백도어 중 하나인 씨독트(Cdorked)이다. 시독트는 웹 트래픽을 우회시키고 DNS 설정을 조작할 수 있게 해 주는 멀웨어이다. 그 외에 카프봇(Calfbot)이라는 펄 스크립트도 자주 사용된다.

지난 수년 동안 에버리는 각종 스팸 배포 플랫폼으로서 널리 활용되어 왔다. 웹 트래픽을 우회시키고 크리덴셜을 훔치는 유형의 공격에도 인기리에 채용되었다. 하지만 최근 에버리 운영자들은 주로 신용카드 정보나 암호화폐를 훔치는 데 사용하기 시작했다고 한다.

공격자들은 ‘중간위협자(adversary in the middle)’라는 전략을 사용해 SSH 트래픽을 가로채는데, 비트코인이나 이더리움 노드들에서 발생되는 트래픽이 주요 표적이 된다. 가로챈 트래픽은 자신들이 제어하는 서버로 가져간다. 그렇게 계속해서 트래픽을 가져가다가 피해자가 암호화폐 지갑 비밀번호를 입력하면 에버리가 자동으로 그 지갑에 접속해 사실상 지갑 자체를 훔쳐간다. 이러한 사실은 보안 업체 이셋(ESET)이 공개했다.

그 외에도 에버리의 운영자들은 신용카드 정보도 적극 노리는 것으로 분석됐다. 그냥 노리는 것이 아니라 다른 신용카드 정보 탈취자들을 견제하면서까지 노렸다. “에버리 멀웨어는 빅배드울프(BigBadWolf)라는 뱅킹 트로이목마를 탐지해 제거하는 기능을 가지고 있기도 합니다.” 이셋 측의 설명이다.

또한 에버리의 운영자들은 서버 관리자용 소프트웨어에 있는 제로데이 취약점들을 통해 서버를 대량으로 해킹하고 크리덴셜을 탈취하는 것으로도 밝혀졌다. 그렇게 확보한 로그인용 비밀번호나 키를 활용해 또 다른 시스템들로 로그인해 에버리를 확산시키는 것도 잊지 않았다. 한 호스팅 업체의 경우, 무려 7만 개의 서버가 에버리에 감염되어 있기도 했다.

이셋의 연구원인 마케띠엔느 레베이에(Marc-Etienne Léveillé)는 “에버리의 진짜 무서운 점은 한 데이터센터를 장악하면, 그 안에 있는 수많은 서버들을 감염시킨다는 것”이라고 지적했다. “2009년과 2011년 사이에 에버리는 커널(Kernel.org)를 해킹한 적이 있었는데, 당시 커널에서 근무하던 개발자들의 절반 이상이 SSH 비밀번호를 도난당했습니다. 그 정도로 어마어마하게 왕성한 확산력을 보여주는 게 에버리이죠.”

경찰과 강도들
2014년에 이셋은 네덜란드 경찰과 함께 에버리 멀웨어를 추적한 적이 있었다. 그 결과 2015년 에버리 운영자 중 한명이자 러시아인인 막심 세낙(Maxim Senak)을 체포하는 데 성공했다. 세낙은 핀란드와 러시아 국경선에서 체포됐고, 미국으로 인도됐다. 거기서 컴퓨터 해킹 및 금융 사기죄가 인정돼 46개월 형을 선고받았다. 최종 선고일은 2017년이었다.

세낙의 체포 이후 에버리는 활동량을 줄였다. 남은 운영자들은 더 이상 광고도 하지 않았고, 공격도 하지 않았다고 레베이에는 설명한다. “그러다가 2021년 암호화폐 탈취 사건의 한 피해자의 서버에서 에버리가 나왔습니다. 그래서 네덜란드 경찰과 저희 이셋은 다시 수사를 이어갔죠. 그리고 이들이 조용히 다시 활동을 시작했음을 알게 됐습니다.”

에버리에서부터 안전해지기
에버리는 주기적으로 새로운 기능을 입는다. 가장 최신 버전인 1.8.2의 경우 올해 초부터 발견되기 시작했는데, 각종 난독화 기술을 탑재하고 있었다. 거기에다가 기존의 것과 다른 도메인 생성 알고리즘도 있었고, 스텔스 기능이 강화된 루트깃도 내포하고 있었다. 따라서 기존 버전들보다 탐지하기가 더 어렵다고 한다. 이셋은 에버리에 대한 백서와 함께 침해지표를 같이 공개했다.

이셋의 첩보 분석가인 로버트 리포프스키(Robert Lipovsky)는 “탐지도 어렵지만 에버리를 삭제하고 서버와 데이터센터를 다시 깔끔하게 청소하는 게 더 어렵다”고 경고한다. “왜냐하면 에버리 운영자들은 훔친 크리덴셜을 자꾸만 재활용하기 때문입니다. 멀웨어를 다 찾아 지운다 한들, 크리덴셜까지 모조리 새로 설정하지 않는다면 안전할 수 없습니다.”

3줄 요약
1. 에버리라는 오래된 봇넷 멀웨어, 최근 조용히 활동해 수많은 서버들을 장악.
2. 특히 암호화폐 탈취 및 금융 사기 관련 범죄에 널리 활용되고 있음.
3. 데이터넷터 내 여러 서버들을 다량으로 감염시킨다는 게 가장 지독한 점.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)