2025년 4분기 리눅스 SSH 서버 대상 악성코드 통계 보고서
AhnLab SEcurity intelligence Center(ASEC)에서는 허니팟을 활용하여 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 무차별 대입 공격 또는 사전 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2025년 4분기에 확인된 로그를 기반으로 공격에 사용된 공격지들의 현황과 해당 공격지(Attack Source)들에서 수행한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된 악성코드들을 분류하여 세부적인 통계를 정리한다.
1. 리눅스 SSH 서버 대상 공격 현황
다음은 2025년 4분기에 자사 허니팟 로그를 통해 확인된 리눅스 SSH 서버 대상 공격에 대한 통계이다. 2025년 4분기에는 Worm 악성코드인 P2PInfect의 공격이 80.4%를 차지하며 다음으로는 Prometei가 8.3%, XMRig가 2.4%를 차지하는 등 P2PInfect가 대부분을 점유하고 있다.
[그림 1] 2025년 4분기 리눅스 SSH 서버 대상 공격 현황
공격에 사용된 악성코드 유형 대부분은 Worm, 코인 마이너 또는 DDoS 봇이며 이외에도 백도어나 기타 유형들이 존재한다. 비록 SSH 서비스가 설치된 서버를 대상으로하지만 기본적으로 IoT 장비를 대상으로 하는 IoT DDoS Bot 악성코드들이 함께 확인되는 것이 특징이다. 대표적으로 Mirai나 Gafgyt가 있으며 이외에도 Tsunami는 IoT 장비뿐만 아니라 리눅스 서버를 대상으로 유포되기도 한다. 리눅스 서버 대상 DDoS 악성코드로는 Tsunami 외에도 ShellBot이나 XorDDoS가 있다. CoinMiner 유형들로는 XMRig를 설치하는 다양한 사례들이 존재하지만 이외에도 Prometei나 P2PInfect가 있다.
2. 2025년 4분기 공격 사례
2025년 4분기에는 RUBYCARP 공격자의 ShellBot 악성코드 공격 사례를 소개하였다. 10년 이상 활동하면서 공개된 취약점들과 무차별 대입 공격을 통해 봇넷을 구축하고 있는 것으로 알려진 RUBYCARP는 2024년 4월 Sysdig사에서 루마니아의 위협 그룹으로 소개되었다. [1] 해당 공격자는 금전적 이익을 목적으로 코인 마이닝, DDoS 그리고 피싱 공격과 관련된 악성코드들을 사용하고 있는 것으로 알려졌다.
ASEC에서는 RUBYCARP로 알려진 공격자의 ShellBot(PerlBot) 악성코드가 지속적으로 유포 중인 것을 확인하였다. 설치 명령에서 확인되는 ShellBot의 다운로드 주소와 C&C 주소들 중 일부 IoC가 Sysdig사에서 공개한 RUBYCARP의 인프라와 동일하였다. 동일한 IoC가 아닌 경우에도 공격에 사용된 ShellBot의 여러 특징들을 통해 동일한 공격자 여부를 확인할 수 있었다.
ShellBot은 PerBot으로도 불리며 Perl로 개발된 DDoS Bot 악성코드이다. IRC 프로토콜을 이용해 C&C 서버와 통신하며 DDoS 공격뿐만 아니라 감염 시스템을 제어할 수 있는 다양한 명령들을 지원한다. 공격자들은 22번 포트 즉 SSH 서비스가 동작하는 시스템들을 스캐닝 한 후 SSH 서비스가 동작 중인 시스템을 찾은 이후에는 흔히 사용되는 SSH 계정 정보 목록을 이용해 사전 공격을 진행한다. 동일한 공격자는 2025년에도 로그인에 성공한 이후 지속적으로 ShellBot을 설치하고 있다.
공격에 사용된 ShellBot은 크게 두 가지이다. 첫 번쨰 유형은 “리눅스 SSH 서버를 대상으로 유포 중인 ShellBot 악성코드” 블로그에서도 언급한 유형으로서 과거에는 “LiGhT’s Modded perlbot v2″라는 이름이 사용되었다. [2] 해당 ShellBot은 많은 수의 명령들을 지원하며 아래에서는 크게 유형별로 기능들을 분류하였다.
[그림 2] LiGhT’s Modded perlbot v2의 명령 루틴
| 명령 | 기능 |
|---|---|
| looding | IRC Flooding |
| irc | IRC 제어 명령들 |
| ddos | DDoS 명령들 (TCP, UDP, HTTP, SQL Flooding 등) |
| news | 보안 웹 페이지들에 대한 DDoS 공격 명령 |
| hacking | 공격 명령들 (MultiScan, Socks5, LogCleaner, Nmap, Reverse Shell 등) |
| linuxhelp | 도움말 |
| extras | 추가 기능 (DDoS 공격 관련 추정) |
[표 2] LiGhT’s Modded perlbot v2가 지원하는 기능들
또 다른 유형은 위의 ShellBot보다 단순한 형태이지만 DDoS 공격이나 스캐닝과 같은 명령을 지원하는 점은 동일하다. 참고로 두 유형 모두 “@auth” 변수에 “netadmin.fuckOff[.]org” 문자열이 포함된 것이 특징이다.
| 명령 | 기능 |
|---|---|
| portscan | 포트 스캐닝 |
| download | 파일 다운로드 |
| fullportscan | 특정 주소에 대한 포트 스캐닝 |
| udp | UDP flooding 공격 |
| udpfaixa | UDP flooding 공격 2 |
| conback | 특정 주소에 대한 연결 시도 |
[표 3] ShellBot이 지원하는 기능들
[그림 3] ShellBot의 설정 정보
