MySQL 서버를 공격 중인 Ddostf DDoS Bot 악성코드 Posted By Sanseo , 2023년 11월 6일 ASEC 분석팀에서는 취약한 데이터베이스 서버를 대상으로 유포되는 악성코드들을 지속해서 모니터링하고 있다. MySQL은 대표적인 데이터베이스 서버로서 기업이나 사용자 환경에서 대량의 데이터를 관리하는 기능을 제공한다. 일반적으로 윈도우 환경에서는 데이터베이스 서비스를 위해 주로 MS-SQL을 설치하며 리눅스 환경에서는 MySQL, PostgreSQL 등의 데이터베이스 서비스가 사용된다. 하지만 MySQL과 같은 DBMS 서비스는 윈도우 환경도 지원하기 때문에 MS-SQL 서버만큼은 아니지만 윈도우 환경에 설치된 사례도 일정 부분 존재하며 이에 따라 윈도우 환경에서 동작 중인 MySQL 서버를 대상으로 하는 공격도 꾸준히 확인되고 있다. 자사 AhnLab Smart Defense (ASD) 로그에 따르면…
리눅스 SSH 서버를 대상으로 유포 중인 Tsunami DDoS 악성코드 Posted By Sanseo , 2023년 6월 12일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 Tsunami DDoS Bot을 설치하고 있는 공격 캠페인을 확인하였다. 공격자는 Tsunami뿐만 아니라 ShellBot, XMRig 코인 마이너, Log Cleaner 등 다양한 악성코드들을 설치하였다. 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격 사례를 보면 일반적으로 DDoS Bot이나 코인 마이너 악성코드를 설치하는 사례가 대부분을 차지하고 있다. DDoS Bot의 경우 과거 ASEC 블로그에서 ShellBot [1], ChinaZ DDoS Bot [2] 악성코드를 설치하는 공격 사례를 소개한 바 있으며, XMRig 코인 마이너를 설치하는 공격…
리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드 Posted By Sanseo , 2023년 3월 20일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ChinaZ DDoS Bot 악성코드들이 설치되고 있는 것을 확인하였다. ChinaZ 그룹은 2014년 경부터 확인된 중국의 공격 그룹 중 하나로서 윈도우 및 리눅스 시스템들을 대상으로 다양한 DDoS Bot들을 설치하고 있다. [1] ChinaZ 공격 그룹이 제작한 것으로 알려진 DDoS Bot 악성코드들로는 대표적으로 XorDDoS, AESDDos, BillGates, MrBlack 등이 있으며 여기에서는 ChinaZ 또는 ChinaZ DDoSClient라고 불리는 DDoS Bot을 다룬다. 1. 리눅스 SSH 서버 대상 공격 캠페인 일반 사용자들의 주요 작업 환경인 데스크탑과…
디스코드 Nitro 코드 생성기를 위장하여 유포 중인 PYbot DDoS 악성코드 Posted By Sanseo , 2023년 2월 8일 공격자들이 악성코드를 유포하는 방식들 중에는 대표적으로 크랙과 같은 불법 소프트웨어를 위장한 사이트를 이용하는 방식이 있다. 공격자가 악성코드를 유료 소프트웨어의 크랙이나 시리얼 생성기와 같은 프로그램으로 위장하여 업로드하면 사용자는 이러한 불법 소프트웨어를 설치하고 이 과정에서 악성코드가 함께 감염되는 방식이다. ASEC 분석팀에서는 소프트웨어 크랙이나 시리얼 생성기와 같은 불법 소프트웨어를 통해 유포되고 있는 악성코드들을 모니터링하고 있다. 이러한 방식으로 유포되는 악성코드들로는 Vidar, CryptBot, RedLine과 같은 인포스틸러 유형들이 많다. ASEC 분석팀은 최근 PYbot DDoS 악성코드가 불법 소프트웨어와 함께 유포되고 있는 것을 확인하였다. 공격자가 미끼로 사용한 프로그램은…
코인 마이너를 설치하는 Shc 리눅스 악성코드 Posted By Sanseo , 2022년 12월 27일 ASEC 분석팀은 최근 Shc로 개발된 리눅스 악성코드가 코인 마이너 악성코드를 설치하고 있는 것을 확인하였다. 공격자는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 사전 공격을 통해 인증에 성공한 뒤 다양한 악성코드들을 설치한 것으로 추정되며, Shc 다운로더 악성코드와 이를 통해 설치되는 XMRig 코인 마이너 그리고 Perl로 개발된 DDoS IRC Bot이 확인된다. 1. Shc (Shell Script Compiler) Shc는 Shell Script Compiler의 약자로서 Bash 쉘 스크립트를 ELF 실행 파일 포맷으로 변환해 주는 역할을 한다. Bash는 리눅스 운영체제에서 제공하는 기본 쉘로서 Bash 쉘이 지원하는 명령들은…
