리눅스 커널 보안 업데이트 권고(CVE-2025-21756)
개요 리눅스 커널에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다. 대상 제품 CVE-2025-21756 Linux Kernel 버전: 6.6.79 미만Linux Kernel 버전: 6.12.16 미만Linux Kernel 버전: 6.13.4 미만Linux Kernel 버전: 6.14-rc1 미만 해결된 취약점 Linux 커널에서 Container-Optimized OS 노드의
리눅스 커널 보안 업데이트 권고
개요 리눅스 커널에서 발생하는 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다. 대상 제품 CVE-2024-53197, CVE-2024-53150 Linux Kernel 버전: 4.19.325 미만Linux Kernel 버전: 5.4.287 미만Linux Kernel 버전: 5.10.231 미만Linux Kernel 버전: 5.15.174 미만Linux Kernel 버전: 6.1.120 미만Linux Kernel 버전: 6.6.64 미만Linux Kernel 버전: 6.11.11 미만Linux Kernel 버전:
리눅스 SSH 서버 대상 cShell DDoS Bot 공격 사례 (screen, hping3)
AhnLab Security intelligence Center(ASEC)에서는 다수의 허니팟을 활용해 부적절하게 관리되고 있는 리눅스 서버를 대상으로 한 공격을 모니터링하고 있다. 대표적인 허니팟 중에는 취약한 자격 증명 정보를 사용하는 SSH 서비스가 있으며 많은 수의 DDoS 및 코인 마이너 공격자들이 이를 대상으로 공격을 수행하고 있다. ASEC에서는 외부에서 유입되는 다수의 공격을 모니터링하던 중 최근 리눅스 서버를
AhnLab EDR을 활용한 BPFDoor 리눅스 악성코드 탐지
BPFDoor는 Berkeley Packet Filter (BPF)를 활용한 백도어 악성코드로서 2021년 PWC 사의 위협 보고서를 통해 최초로 공개되었다. [1] 보고서에 따르면 중국 기반의 공격자인 Red Menshen이 중동 및 아시아를 대상으로 한 공격에 수년간 BPFDoor를 사용해 왔으며 최근에는 소스 코드가 공개되기도 하였다. BPFDoor는 BPF를 악용하여 공격자가 매직 패킷을 보내는 방식으로 동작이 가능하다.
AhnLab EDR을 활용한 리눅스 지속성 유지 기법 탐지 (1)
지속성 유지 기법은 공격자가 시스템에 침투한 이후 지속적인 활동을 유지하기 위해 사용하는 기법이다. 한 번의 침해로 모든 목표를 달성하기 어려울 수 있기 때문에 공격자는 시스템에 다시 접근할 수 있는 방식을 보장하길 원할 수 있다. 이에 따라 악성코드가 시스템의 재부팅 이후에도 동작할 수 있도록 다양한 방식들을 통해 설정하거나 백도어 계정을 설치하는
Linux Kernel 보안 업데이트 권고
개요 Linux Kernel에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다....
AhnLab EDR을 활용한 리눅스 대상 방어 회피(Defense Evasion) 기법 탐지 (2)
이전 블로그 “AhnLab EDR을 활용한 리눅스 대상 방어 회피(Defense Evasion) 기법 탐지 (1)” [1] 에서는 공격자 및 악성코드가 리눅스 서버를 공격한 이후 방화벽이나 보안 모듈과 같은 보안 서비스를 무력화하고 설치한 악성코드들을 은폐하는 방식들을 다루었다. 여기에서는 이전 블로그에서 다루지 않은 리눅스 대상 방어 회피(Defense Evasion) 기법들을 추가적으로 다룬다. 예를 들어 악성코드를
리눅스 시스템 공격에 사용되는 Pupy RAT 분석
Pupy는 RAT 악성코드로서 크로스 플랫폼을 지원하는 것이 특징이다. 깃허브에 공개된 오픈 소스이다 보니 APT 그룹을 포함하여 다양한 공격자들에 의해 지속적으로 사용되고 있다. 예를 들어 과거 이란과 관련 있는 것으로 알려진 APT35 그룹이 사용한 것으로 알려져 있으며 [1] 온라인 도박 사이트들을 대상으로 한 Operation Earth Berberoka에서도 [2] 사용된 바 있다. 최근에는
2024년 1분기 리눅스 SSH 서버 대상 악성코드 통계 보고서
개요 AhnLab SEcurity intelligence Center(ASEC)에서는 허니팟을 활용하여 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 무차별 대입 공격 또는 사전 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2024년 1분기에 확인된 로그를 기반으로 공격에 사용된 공격지들의 현황과 해당 공격지(Attack Source)들에서 수행한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된
리눅스 대상 공격에 사용되는 Nood RAT 악성코드 분석 (Gh0st RAT 변종)
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 리눅스 버전의 Gh0st RAT 변종 악성코드인 Nood RAT이 공격에서 사용되고 있는 것을 확인하였다. 비록 윈도우 버전의 Gh0st RAT과 비교하면 적은 수량이긴 하지만 리눅스 버전의 Gh0st RAT 또한 지속적으로 수집되고 있다. Nood RAT은 과거 코드의 유사성을 기반으로 Gh0st RAT 변종으로 분류되었다. [1] 해당 악성코드는 최근 제작에
