“난 리눅스만 노려” 갓 등장한 따끈따끈한 암호화폐 채굴 봇넷 둘

리눅스 시스템에 새로운 봇넷이 등장했다. 드림버스와 프릭아웃이다. 여러 취약점을 통해 침투한 뒤 웜처럼 퍼지기도 하고 암호화폐를 채굴하기도 한다. 아직 피해 규모가 정확히 파악되지는 않았지만, 다 합해 족히 수만은 될 것으로 예상된다.

[보안뉴스 문가용 기자] 리눅스 생태계를 위협하는 봇넷 두 가지가 새롭게 출몰했다. 이름은 각각 드림버스(DreamBus)와 프릭아웃(FreakOut)이다. 이중 드림버스는 웜과 비슷한 방식으로 작동한다. 내부 네트워크에서만이 아니라 인터넷을 통하여서도 자가 증식을 한다고 한다. 자가 증식을 위한 여러 가지 기능이 탑재되어 있기도 하다.

보안 업체 지스케일러(Zscaler)가 분석한 바에 따르면 드림버스는 모듈 구성으로 되어 있는 머루에어로, 주로 강력한 CPU와 대량의 메모리가 탑재된 하드웨어 시스템을 노린다고 한다. 리눅스 시스템 중 성능이 좋은 기기들을 노려 봇으로 만든다는 건데, 그 목적은 XM리그(XMRig)라고 하는 암호화폐 채굴 멀웨어를 심는 것이다. XM리그는 모네로를 채굴하는 데 활용되는 코드다. “지금은 채굴 코드를 심는 데서 끝나지만, 나중에 봇넷 운영자들이 랜섬웨어를 심을 수도 있습니다.” 지스케일러 측의 경고다.

“드림버스는 임의의 모듈을 운영자의 목적대로 운영하여 임의의 명령을 원격 시스템 내에서 실행할 수 있습니다. 유연성이 대단히 높다는 것입니다. 여기에다가 자가 증식 기술도 여럿 탑재하고 있어 현재 침해된 시스템의 수가 전 세계적으로 족히 수만은 될 거라고 예상하고 있습니다.” 지스케일러의 설명이다.

지스케일러의 분석에 의하면 드림버스는 인터넷에 연결되지 않은 시스템을 감염시키기 위해 RFC 1918 IP 주소 영역을 스캔해서 취약한 리눅스 시스템을 찾는다고 한다. 그러고 나서는 약한 비밀번호들을 대입하는 모듈을 통해 일종의 브루트포스 공격을 시도한다. SSH나 클라우드 기반 앱들을 통해 원격 코드를 실행하기도 하는데, 아파치 스파크(Apache Spark), 설트스택(SaltStack), 하둡 얀(Hadoop YARN), 해시코프 콘설(HashiCorp Consul) 등이 주로 표적이 된다고 한다.

드림버스의 핵심 요소는 EFL 포맷으로 만들어진 바이너리로, SSH나 HTTP 다운로드를 통해서 퍼진다. 봇넷의 C&C 인프라는 토르 네트워크에 호스팅 되어 있다. 여러 가지 데이터를 통해 추론했을 때, 봇넷 운영자들은 러시아나 동유럽 국가들에 거주하고 있는 것으로 보인다고 지스케일러는 썼다.

“문제는 최초 침투 방법이 단 하나로 통일되어 있지 않다는 것입니다. 여러 모듈들에서 시스템 침해 기능이 발견되고 있습니다. 약한 암호를 뚫고 들어오는 경우도 있지만 인증 과정이 아예 필요 없는 앱들을 찾아 침투하는 경우도 있습니다. 인증 장치를 우회하기도 합니다. 따라서 방어가 상당히 까다로울 수 있습니다.”

공공 인터넷에 연결되어 있지 않은 네트워크 내부에서 횡적으로 움직이며 감염된 장비의 수를 늘려가는 기능도 드림버스의 위험한 점이다. “방화벽 뒤편의 내부 네트워크는 제대로 보호되지 않은 경우가 많습니다. 그렇기 때문에 일단 방화벽만 통과하면 그 후 네트워크에서의 악성 행위는 비교적 간단히 이뤄지는 경우가 많지요. 드림버스가 한 번 웜 기능을 발동시키면 네트워크 안쪽이 순식간에 점령당할 수도 있습니다.”

한편 보안 업체 체크포인트는 이번 주 프릭아웃(FreakOut)이라는 봇넷을 발견해 발표하기도 했다. 테라마스터(TerraMaster)라는 OS의 취약한 버전을 기반으로 하고 있는 시스템을 주로 노린다고 한다. 장비별로 보자면 프릭아웃의 주요 표적은 네트워크 스토리지 서버, 웹 앱, 젠드 프레임워크(Zend Framework)를 사용하는 서비스들, 라이프레이 포털(Liferay Portal)이라는 CMS라고 알려져 있다.

프릭아웃은 여러 가지 취약점을 익스플로잇 하는 방식으로 시스템에 침투한다.
1) CVE-2020-28188 : 명령 주입 취약점(테라마스터 TOS)
2) CVE-2020-7961 : 불안전한 역직열화 취약점(라이프레이 포털)
3) CVE-2021-3007 : 원격 코드 실행 취약점(젠드 프레임워크)

프릭아웃 봇넷은 주로 디도스 공격과 암호화폐 채굴을 위해 사용된다고 체크포인트는 설명한다. 보안 연구원인 아디 이칸(Adi Ikan)은 현재 프릭아웃 봇넷에 185개가 넘는 서버들이 편입되어 있다고 말한다. “프릭아웃 공격 시도는 하루에도 수백 번씩 발생하고 있어서 이 숫자는 곧 늘어날 전망입니다. 피해가 발생하는 곳은 주로 미국과 독일, 네덜란드입니다.”

정말로 프릭아웃의 피해자는 앞으로 기하급수적으로 늘어날 수 있다. 왜냐하면 위 취약점을 내포하고 있는 서버가 인터넷 검색만으로도 9000개 이상 발견되기 때문이다. “세 가지 취약점들은 꽤나 최근에 발견된, 새로운 취약점들입니다. 프릭아웃이 새 취약점을 익스플로잇 하는 기능을 가지고 있다는 것도 꽤나 시사하는 바가 큽니다. 왜냐하면 공격자들이 취약점을 익스플로잇 할 수 있게 되는 시간이 짧아졌다는 뜻이며, 그만큼 취약점의 빠른 패치가 중요해졌다는 뜻이 되기 때문입니다.”

3줄 요약
1. 리눅스 시스템을 노리는 악성 봇넷, 두 개나 최근에 발견됨.
2. 하나의 이름은 드림버스이고, 다른 하나는 프릭아웃.
3. 지금은 주로 암호화폐를 채굴하기 위해 활용되고 있어서 그나마 다행.

출처 : https://www.boannews.com/media/view.asp?idx=94354&page=4&kind=1

문제가 될 시 삭제 하겠습니다.