16진수 표기법 주소를 통해 설치되는 ShellBot DDoS 악성코드 Posted By Sanseo , 2023년 10월 10일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 설치되고 있는 ShellBot 악성코드의 유포 방식이 변경된 것을 확인하였다. 전체적인 흐름은 동일하지만 공격자가 ShellBot을 설치할 때 사용하는 다운로드 주소가 일반적인 IP 주소 대신 16진수 값으로 변경된 것이 특징이다. 1. 과거 URL 탐지 우회 사례 일반적으로 IP 주소는 “점 – 10진수 표기법”(Dot-decimal notation) 방식으로 사용되며 공격자들 또한 C&C 주소나 다운로드, 피싱 URL의 주소를 “hxxp://94.250.254[.]43/”와 같이 사용한다. 하지만 IP 주소는 이러한 “점 – 10진수 표기법” 외에도 10진수나 16진수 표기법으로…
리눅스 SSH 서버를 대상으로 유포 중인 Tsunami DDoS 악성코드 Posted By Sanseo , 2023년 6월 12일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 Tsunami DDoS Bot을 설치하고 있는 공격 캠페인을 확인하였다. 공격자는 Tsunami뿐만 아니라 ShellBot, XMRig 코인 마이너, Log Cleaner 등 다양한 악성코드들을 설치하였다. 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격 사례를 보면 일반적으로 DDoS Bot이나 코인 마이너 악성코드를 설치하는 사례가 대부분을 차지하고 있다. DDoS Bot의 경우 과거 ASEC 블로그에서 ShellBot [1], ChinaZ DDoS Bot [2] 악성코드를 설치하는 공격 사례를 소개한 바 있으며, XMRig 코인 마이너를 설치하는 공격…
리눅스 SSH 서버를 대상으로 유포 중인 ShellBot 악성코드 Posted By Sanseo , 2023년 3월 13일 AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ShellBot 악성코드들이 설치되고 있는 것을 확인하였다. PerlBot이라고도 불리는 ShellBot은 Perl 언어로 개발된 DDoS Bot 악성코드로서 C&C 서버와 IRC 프로토콜을 이용해 통신하는 것이 특징이다. ShellBot은 꾸준히 사용되고 있는 오래된 악성코드로서 최근까지도 다수의 리눅스 시스템들을 대상으로 공격을 수행하고 있다. 1. 리눅스 SSH 서버 대상 공격 캠페인 일반 사용자들의 주요 작업 환경인 데스크탑과 달리 서버는 주로 특정 서비스를 제공하는 역할을 담당한다. 이에 따라 데스크탑 환경에서는 악성코드가 주로 웹 브라우저를 통해…
