싸보봇(SsaboBot)은 보싸보(Bossabo), 보싸봇(BoSSaBot) 등으로 불리며 2013년 말 최초 발견되었다. 싸보봇 v2는 싸보봇의 개선 버전으로 2014년 8월부터 발견되었으며 국내에도 변형이 2014년 9월 발견되었다.


싸보봇은 UPX로 패킹되어 있으며 악성코드 내에 ‘BoSSaBot’과 관련된 문자열이 존재한다. 


 




악성 IRC봇이며 다음 IRC서버로 접속한다. (변형에 따라 접속 주소가 다름)


- srv5050.co

- ka3ek.com

- ircqfrum.com

- 8rb.su


 



PHP-CGI 취약점(CVE-2012-1823)을 통해 전파된다.




 

다른 리눅스 악성코드가 대부분 디도스(DDoS) 공격 기능에 중점을 두고 있지만 싸보봇은 비트코인(Bitcoin) 등의 가상화폐 채굴 프로그램을 다운로드 후 실행한다. 금전적 이득을 위해 제작된 리눅스 악성코드이다. 그외 프락시(Proxy), SOCKS5 기능 등이 존재한다.



 


리눅스 시스템 내 실행 프로세스 중 사용자가 모르는 minerd가 존재한다면 싸보봇 변형에 감염되었을 가능성이 높다.


V3 제품군에서는 다음의 진단명으로 진단한다.

- Linux/IRCbot

- Linux/SsaboBot


관련 샘플의 md5 값은 다음과 같다.


e9bb00d0faea2529cd5cc64147affdc4

8e437d8208ba6ea41692ad7aa47b763d

4091fbd79870952f8be6361c31485b3b



해당 악성코드에 대한 추가 정보는 아래 사이트에서 확인 할 수 있다.


- New Bot Malware (BoSSaBoTv2) Attacking Web Servers Discovered



저작자 표시
신고
Creative Commons License
Creative Commons License
Posted by mstoned7