2024년 3분기 리눅스 SSH 서버 대상 악성코드 통계 보고서

목차 개요 통계 1. 리눅스 SSH 서버 대상 공격 현황 2. 공격에 사용된 악성코드 분류 2.1. IoT DDoS Bot 2.2. Linux SSH Server DDoS Bot 2.3. CoinMiner 2.4. Etc 3. 2024년 3분기 공겨 사례 3.1. SuperShell 악성코드 결론

 

개요

 

AhnLab SEcurity intelligence Center(ASEC)에서는 허니팟을 활용하여 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 무차별 대입 공격 또는 사전 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 3분기에 확인된 로그를 기반으로 공격에 사용된 공격지들의 현황과 해당 공격지(Attack Source)들에서 수행한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.

 

 

통계

1. 리눅스 SSH 서버 대상 공격 현황

 

다음은 2024년 3분기에 자사 허니팟 로그를 통해 확인된 리눅스 SSH 서버 대상 공격에 대한 통계이다. 2024년 3분기의 특징이라고 한다면 Worm 악성코드인 P2PInfect의 공격이 다수 확인되었다는 점인데 84.7%를 차지하기 때문에 여기에서는 P2PInfect를 제외하고 정리한다. 이러한 점을 제외하면 2024년 2분기와 비교해서 별다른 차이점은 존재하지 않는다.

 

[그림 1] 2024년 3분기 리눅스 SSH 서버 대상 공격 현황