공격자가 악성코드 설치 시 다운로드 주소가 기존 IP에서 16진수 값으로 변경돼
공격자, 쉘봇 ‘DDoS PBot v2.0’ 활용해 악성코드 설치시 ‘dred’ 이름 사용
[보안뉴스 김영명 기자] 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 설치되고 있는 쉘봇(ShellBot) 악성코드의 유포 방식이 변경된 것이 확인됐다. 전체적인 유포 방식의 흐름은 같지만, 공격자가 쉘봇을 설치할 때 사용하는 다운로드 주소가 일반적인 IP 주소 대신 16진수 값으로 변경된 것이 특징이다.
![[보안뉴스 / 10.13.] 쉘봇 디도스 악성코드, 16진수 표기법 주소 통해 설치 확산 중](http://www.boannews.com/media/upFiles2/2023/10/32845661_3148.jpg)
▲과거 PDF 링크 클릭 시 리다이렉트되는 주소들[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에 따르면, 과거 쉘봇 악성코드의 URL 탐지 우회 사례는 일반적으로 IP 주소가 ‘점-10진수 표기법’(Dot-decimal notation) 방식으로 사용되며, 공격자들도 C&C 주소나 다운로드, 피싱 URL의 주소를 해당 방식으로 사용한다. 하지만 IP 주소는 이러한 ‘점-10진수 표기법’ 외에도 10진수나 16진수 표기법으로 표현할 수 있으며, 일반적으로 익숙한 웹 브라우저에서도 이를 지원한다. 이와 같은 활용성으로 공격자들은 URL 진단을 우회하기 위해 URL을 사용해 왔으며, 실제 과거 피싱 PDF 악성코드를 제작할 때도 10진수 주소를 사용했다.
피싱 PDF의 URL을 클릭할 경우, 웹 브라우저 주소가 http 다음에 일반적인 숫자를 나열한 주소로 보이는데, 이는 특정 주소로 접속한 결과와 같게 된다. 공격자는 악성 URL 탐지를 우회하기 위해 이렇게 10진수 방식의 IP 주소를 URL로 사용했으며, 사용자가 접속할 경우 실제 다양한 피싱 사이트로 리다이렉트됐다.
과거 쉘봇의 공격 사례를 보면, 공격자들은 22번 포트, 즉 SSH 서비스가 동작하는 시스템들을 스캐닝한 후 SSH 서비스가 동작 중인 시스템을 찾은 이후에는 흔히 사용되는 SSH 계정 정보 목록을 이용해 사전 공격을 진행한다. 만약 로그인에 성공하게 되면 공격자들은 다양한 악성코드들을 손쉽게 설치할 수 있다.
펄봇(PerlBot)이라고도 불리는 쉘봇은 펄(Perl) 언어로 개발된 디도스 봇(DDoS Bot) 악성코드이며, C&C 서버와 IRC 프로토콜을 이용해 통신하는 것이 특징이다. 쉘봇은 꾸준히 사용되고 있는 오래된 악성코드로서, 최근까지도 다수의 리눅스 시스템들을 대상으로 한 공격에 사용되고 있다.
최근까지도 유포 중인 쉘봇 악성코드들 중에는 ‘DDoS PBot v2.0’ 유형이 존재한다. 이를 공격에 사용하는 특정 공격자는 악성코드를 설치할 때 지속해서 ‘dred’라는 이름을 사용하는 것이 특징이다.
![[보안뉴스 / 10.13.] 쉘봇 디도스 악성코드, 16진수 표기법 주소 통해 설치 확산 중](http://www.boannews.com/media/upFiles2/2023/10/32845661_6221.jpg)
▲DDoS PBot v2.0의 초기 루틴[자료=안랩 ASEC 분석팀]
최근 쉘봇의 공격 사례를 보면, 올해 9월에는 같은 공격자가 기존의 ‘점-10진수 표기법’ 형태의 IP 주소 대신 16진수 형태의 IP 주소를 이용해 쉘봇을 설치하고 있는 것이 확인됐다. 공격자는 로그인에 성공한 이후 특정 명령들을 이용해 쉘봇을 설치했다. 과거 사례와 비교했을 때 명령 자체는 같지만, IP 주소로 16진수 값이 사용됐다는 점에서 차이점이 있다. 16진수로 표현된 IP 주소의 다운로드에는 curl이 사용됐는데, 웹 브라우저와 같이 16진수를 지원하기 때문에 리눅스 시스템 환경에서도 정상적으로 쉘봇을 다운로드해 펄을 통해 실행시킬 수 있다.
쉘봇 악성코드는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 꾸준히 설치되고 있다. 쉘봇이 설치될 경우 리눅스 서버는 공격자의 명령을 받아 특정 대상에 대한 디도스 공격을 수행하는 디도스 봇으로 사용될 수 있다. 리눅스 서버는 이외에도 다양한 백도어 기능을 통해 추가 악성코드가 설치되거나 다른 공격에 사용되는 것이 가능하다.
안랩 ASEC 분석팀은 “관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경해 무차별 대입 공격과 사전 공격으로부터 리눅스 서버를 보호해야 한다”며 “제품을 최신 버전으로 패치해 취약점 공격을 방지해야 한다”고 강조했다. 이어 “외부에 공개돼 접근 가능한 서버에 대해 방화벽과 같은 보안 제품을 이용해 공격자로부터의 접근을 통제하고, V3 등 사용 중인 백신을 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 10.13.] 쉘봇 디도스 악성코드, 16진수 표기법 주소 통해 설치 확산 중](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
