패치되지 않은 리눅스 취약점 이용해 공격 이뤄져
악성코드 IptabLes 및 IptabLex 빠른 확산이 주 요인
악성코드인 IptabLes와 IptabLex에 감염돼 봇넷으로 이용되는 리눅스 시스템의 수가 빠르게 증가하고 있는 것으로 나타나 심각한 보안 위협이 되고 있다. 이를 통해 디도스 공격이 이뤄질 수 있으며, 일반적으로 리눅스 운영 체제는 디도스 봇넷으로 이용되지 않기 때문에 보다 발전한 보안 위협에 대처할 수 있는 방안을 모색해야 할 것으로 보인다.악성코드 IptabLes 및 IptabLex 빠른 확산이 주 요인
아카마이 테크놀로지스(Akamai Technologies)는 3일(현지시각) 이같이 밝히고, IptabLes와 IptabLex가 빠르게 확산되고 있는 원인으로는 아파치 스트럿츠(Apache Struts), 톰캣(Tomcat) 및 엘라스틱서치(Elasticsearch) 취약점을 이용한 공격으로 많은 수의 리눅스 기반 웹 서버가 감염됐기 때문인 것으로 분석하고 있다.
<출처: 아카마이 보고서>
공격자들은 관리되지 않은 서버의 리눅스 취약점을 이용해 액세스 권한을 획득한 후 컴퓨터를 원격에서 제어할 수 있도록 권한을 상승시킨 다음 시스템에 악의적인 코드를 심은 후 이를 실행한다. 그 결과 시스템이 원격에서 제어돼 디도스 봇넷의 일부로 이용되는 것이다.
이러한 스크립트 파일은 컴퓨터 재실행 시 IptabLes 바이너리를 실행하며, 이 악성코드는 자가 업데이트 기능이 있어 감염된 시스템은 원격 호스트에 접속해 파일을 다운로드한다. 테스트 결과, 감염된 한 시스템이 아시아 지역에 위치한 두 개의 IP 주소로 접속을 시도하는 것이 발견됐다.
아카마이 보안사업부의 수석 VP 겸 GM인 스튜어트 스콜리(Stuart Scholly)는 “올해 주요 디도스 공격이 IptabLes와 IptabLex에 감염된 리눅스 시스템상에서 발생한 것임을 확인했다”며, “공격자는 패치되지 않은 리눅스 소프트웨어의 알려진 취약점을 이용해 디도스 공격을 수행하기 때문에 리눅스 관리자들은 이러한 위협을 인지해 자사 서버를 보호하기 위한 조치를 취해야 할 것”이라고 전했다.
IptabLes 및 IptabLex에 대한 C&C(C2, CC)는 현재 아시아에 위치해 있는 것으로 드러났으며, 초기에는 아시아 지역에서 주로 감염이 이뤄졌지만 최근에는 미국 및 기타 지역에서도 상당수가 감염된 것으로 관찰됐다.
<출처: 아카마이 보고서>
한편, 감염 여부는 /boot 디렉토리에 위치한 .IptabLes 또는 .IptabLex 페이로드를 통해 확인할 수 있다.
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 호애진 기자 ajho@dailysecu.com
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지