리눅스 백도어 계정을 설치하는 공격자들
악성코드

리눅스 백도어 계정을 설치하는 공격자들

AhnLab SEcurity intelligence Center(ASEC)은 리눅스 SSH 허니팟을 활용하여 불특정 다수의 리눅스 시스템을 대상으로 한 공격을 모니터링하고 있다. 공격자들은 기본적으로 설정되어 있거나 단순한 형태의 비밀번호를 사용하는 부적절하게 관리되고 있는 리눅스 시스템들을 무차별 대입 공격 및 사전 공격하여 악성코드들을 설치하고 있다. 웜, 코인 마이너 및 DDoS Bot을 설치하는 다양한 공격 사례들이 존재하지만

  • 1월 29 2024
2023년 4분기 리눅스 SSH 서버 대상 악성코드 통계 보고서
트렌드 악성코드

2023년 4분기 리눅스 SSH 서버 대상 악성코드 통계 보고서

개요 AhnLab SEcurity intelligence Center(ASEC)에서는 허니팟을 활용하여 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 무차별 대입 공격 또는 사전 공격들에 대한 대응 및 분류를 진행하고 있다. 본 문서에서는 2023년 4분기에 확인된 로그를 기반으로 공격에 사용된 공격지들의 현황과 해당 공격지(Attack Source)들에서 수행한 공격들에 대한 통계를 다룬다. 그리고 각각의 공격에 사용된

  • 1월 03 2024
리눅스 SSH 서버를 대상으로 스캐너 악성코드를 설치하는 공격 사례 분석
악성코드

리눅스 SSH 서버를 대상으로 스캐너 악성코드를 설치하는 공격 사례 분석

AhnLab Security Emergency response Center(ASEC)에서는 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격 캠페인들을 분석하여 ASEC 블로그에 공개하고 있다. 공격자들은 DDoS Bot, CoinMiner 등의 악성코드들을 설치하기 이전에 공격 대상에 대한 정보 즉 IP 주소와 SSH 자격 증명 정보를 획득할 필요가 있다. 이를 위해 IP를 스캐닝 하면서 SSH 서비스 즉

  • 12월 15 2023
16진수 표기법 주소를 통해 설치되는 ShellBot DDoS 악성코드
악성코드

16진수 표기법 주소를 통해 설치되는 ShellBot DDoS 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 설치되고 있는 ShellBot 악성코드의 유포 방식이 변경된 것을 확인하였다. 전체적인 흐름은 동일하지만 공격자가 ShellBot을 설치할 때 사용하는 다운로드 주소가 일반적인 IP 주소 대신 16진수 값으로 변경된 것이 특징이다. hxxp://0x2763da4e/dred hxxp://0x74cc54bd/static/home/dred/dred   1. 과거 URL 탐지 우회 사례

  • 10월 10 2023
리눅스 SSH 서버를 대상으로 유포 중인 Tsunami DDoS 악성코드
악성코드

리눅스 SSH 서버를 대상으로 유포 중인 Tsunami DDoS 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 Tsunami DDoS Bot을 설치하고 있는 공격 캠페인을 확인하였다. 공격자는 Tsunami뿐만 아니라 ShellBot, XMRig 코인 마이너, Log Cleaner 등 다양한 악성코드들을 설치하였다. 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 하는 공격 사례를 보면 일반적으로 DDoS Bot이나 코인 마이너

  • 6월 12 2023
리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드
악성코드

리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ChinaZ DDoS Bot 악성코드들이 설치되고 있는 것을 확인하였다. ChinaZ 그룹은 2014년 경부터 확인된 중국의 공격 그룹 중 하나로서 윈도우 및 리눅스 시스템들을 대상으로 다양한 DDoS Bot들을 설치하고 있다. [1] ChinaZ 공격 그룹이 제작한 것으로 알려진 DDoS Bot

  • 3월 20 2023
리눅스 SSH 서버를 대상으로 유포 중인 ShellBot 악성코드
악성코드

리눅스 SSH 서버를 대상으로 유포 중인 ShellBot 악성코드

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 ShellBot 악성코드들이 설치되고 있는 것을 확인하였다. PerlBot이라고도 불리는 ShellBot은 Perl 언어로 개발된 DDoS Bot 악성코드로서 C&C 서버와 IRC 프로토콜을 이용해 통신하는 것이 특징이다. ShellBot은 꾸준히 사용되고 있는 오래된 악성코드로서 최근까지도 다수의 리눅스 시스템들을 대상으로 공격을 수행하고 있다.

  • 3월 13 2023