제대로 관리되지 않는 Linux SSH 서버를 노리는 공격자
최근 Linux SSH 서버는 보안을 손상시키고 취약점을 악용하여 악의적인 활동을 하려는 공격자들의 주요 표적이 되고 있습니다. 이 문서에서는 보안이 취약한 Linux SSH 서버에 대한 우려가 커지고 있는 상황, 위협 행위자가 사용하는 기술, 잠재적인 공격으로부터 서버를 강화하기 위한 중요한 단계에 대해 자세히 설명합니다.
Linux SSH 서버 공격 세부 정보
점점 더 많은 악의적 공격자들이 보안이 취약한 Linux SSH 서버를 포트 스캐너를 설치하고 사전 공격 도구를 배포하기 위한 진입점으로 사용하고 있습니다. 이들의 궁극적인 목표는 취약한 서버를 감염시켜 네트워크에 통합하여 분산 서비스 거부(DDoS) 공격과 암호화폐 채굴을 수행하는 것입니다.
공격자는 일반적으로 사용되는 사용자 이름과 비밀번호 조합을 체계적으로 테스트하여 SSH 인증 정보를 추측하는 사전 공격을 활용합니다. 공격이 성공하면 공격자는 다른 취약한 시스템을 식별하기 위해 만들어진 정교한 스캐너를 포함한 추가 멀웨어를 배포하여 공격을 확대합니다.
이러한 스캐너는 포트 22(SSH 서비스)가 활성화된 시스템을 식별합니다. 그런 다음 위협 행위자는 멀웨어를 설치하기 위해 SSH 사전 공격을 수행합니다. 일반적으로 사용되는 멀웨어로는 ShellBot, Tsunami, ChinaZ DDoS Bot, XMRig CoinMiner, Gafgyt 등이 있습니다.
분석 보고서에 따르면 공격자는 먼저 이 명령을 사용하여 로그인에 성공한 후 총 CPU 코어 수를 확인합니다.
그렙 -c ^프로세서 /프로세서/프로세서/프로세서/프로세서/프로세서/프로세서/프로세서/프로세서 정보
이는 악성 공격자가 계정 자격 증명을 성공적으로 획득했음을 나타냅니다. 이후 동일한 자격 증명을 사용하여 다시 로그인하여 포트 스캐너와 SSH 사전 공격 도구가 모두 포함된 압축 파일을 다운로드했습니다.
결론
서버 관리자는 위협 행위자가 사용하는 전략을 파악하고 예방 조치를 취함으로써 침해 위험을 크게 낮출 수 있습니다. 사용자는 강력하고 사전 예방적인 보안 조치를 채택하여 진화하는 위협으로부터 Linux SSH 서버를 보호할 것을 강력히 권장합니다. 복잡하고 추측하기 어려운 비밀번호를 사용하고, 비밀번호를 자주 변경하며, 시스템을 최신 상태로 유지하는 등의 필수 관행을 구현해야 합니다.
출처 : https://tuxcare.com/ko/blog/attackers-targeting-poorly-managed-linux-ssh-servers/
문제가 될 시 삭제하겠습니다.