2024년 4분기 리눅스 SSH 서버 대상 악성코드 통계 보고서

개요

AhnLab SEcurity intelligence Center(ASEC)에서는 허니팟을 활용하여 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 무차별 대입 공격 또는 사전 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 4분기에 확인된 로그를 기반으로 공격에 사용된 공격지들의 현황과 해당 공격지(Attack Source)들에서 수행한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.

 

통계

1. 리눅스 SSH 서버 대상 공격 현황

다음은 2024년 4분기에 자사 허니팟 로그를 통해 확인된 리눅스 SSH 서버 대상 공격에 대한 통계이다. 2024년 4분기에도 Worm 악성코드인 P2PInfect의 공격이 다수 확인되었으며 49.3%를 차지하기 때문에 여기에서는 P2PInfect를 제외하고 정리한다. 이러한 점을 제외하면 2024년 3분기와 비교해서 별다른 차이점은 존재하지 않는다.

 

[그림 1] 2024년 4분기 리눅스 SSH 서버 대상 공격 현황

 

“공격지” 항목은 악성코드 또는 공격자에 의해 공격에 사용된 시스템들 즉 공격지의 수량으로서, 실제 악성코드 설치 명령까지 수행된 이력이 확인되는 시스템이다. ASEC 허니팟에서는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격들에 대한 로그를 수집하고 있다. 여기서 의미하는 부적절하게 관리되고 있는 환경은 무차별 대입 공격이나 사전 공격에 취약한 계정 정보가 설정되어 있는 환경을 의미한다. 만약 부적절하게 관리되고 있는 시스템에 관리자 계정으로 로그인에 성공하였다면 악성코드 또는 공격자는 해당 시스템에 대한 제어를 획득할 수 있다.

 

“공격 현황” 항목은 악성코드 또는 공격자가 해당 시스템을 대상으로 수행한 공격 횟수이다. 부적절하게 관리되고 있는 리눅스 SSH 서버에 대한 공격은 스캐닝부터 시작되며, 대부분의 공격 시도들은 스캐닝 이후 무차별 대입 공격이나 사전 공격을 통해 계정 정보를 획득하거나 이후 기본적인 정보를 수집하는 과정에서 끝난다. 여기에서는 이러한 과정을 넘어 실제 악성코드들을 설치하는 로그가 확인되는 사례들을 기반으로 통계를 정리한다.