Overview Statistics 1. Status of Attacks Against Linux SSH Servers  2. Categorization of Malware Used in Attacks    2.1. IoT DDoS Bot    2.2. Linux SSH Server DDoS Bot    2.3. CoinMiner    2.4. Etc  3. Cases of Attacks in Q3 2024    3.1. Supershell Malware  Conclusion

 

Overview

 

AhnLab SEcurity intelligence Center (ASEC) uses honeypots to respond to and categorize brute force or dictionary attacks targeting poorly managed Linux SSH servers. This report will cover the status of attack sources identified in the second quarter of 2024 based on logs, as well as statistics on attacks performed by these attack sources. Furthermore, the malware used in each attack will be categorized with a summary of the statistical details.

 

 

Statistics

 

1. Status of Attacks on Linux SSH Servers

 

The following are statistics on attacks against Linux SSH servers identified through AhnLab’s honeypot logs in the second quarter of 2024. A notable fact about Q2 2024 is that many attacks involving P2PInfect, a Worm malware type, were identified. Because it takes up 86.8%, it will not be discussed much in this report. Aside from P2PInfect, there are no notable differences in comparison to Q1 2024.

 

개요

 

AhnLab SEcurity intelligence Center(ASEC)에서는 허니팟을 활용하여 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 무차별 대입 공격 또는 사전 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 3분기에 확인된 로그를 기반으로 공격에 사용된 공격지들의 현황과 해당 공격지(Attack Source)들에서 수행한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.

 

 

통계

1. 리눅스 SSH 서버 대상 공격 현황

 

다음은 2024년 3분기에 자사 허니팟 로그를 통해 확인된 리눅스 SSH 서버 대상 공격에 대한 통계이다. 2024년 3분기의 특징이라고 한다면 Worm 악성코드인 P2PInfect의 공격이 다수 확인되었다는 점인데 84.7%를 차지하기 때문에 여기에서는 P2PInfect를 제외하고 정리한다. 이러한 점을 제외하면 2024년 2분기와 비교해서 별다른 차이점은 존재하지 않는다.

 

Figure 1. Attacks against Linux SSH servers in Q3, 2024