기사요약 :
펄 언어로 제작되어 펄봇(PerlBot)이라고도 불리는 쉘봇(ShellBot)이라는 악성코드가 취약한 리눅스 SSH 서버에 설치가 되고 있다. 해당 악성코드는 DDos Bot 악성코드로 C2 서버와 IRC 프로토콜로 통신을 한다는게 특징이라고 한다.
- 쉘봇이 노리는 곳 : 부적절하게 관리되고 있거나, 최신 버전으로 패치를 하지 않아 취약점에 노출된 서비스가 대상.
- 부적절하게 관리 되고 있는 서버 : 단순한 형태의 계정정보 사용하는 곳
예) deploy - password, hadoop - hadoop, oracle - oracle, root - 11111, root - Passw0rd, ttx - ttx2011, ubnt - ubnt
- 쉘봇 : SSH BruteForce 공격으로 스캐닝 시도한 후에 22번 포트인 SSH 서비스 작동여부 확인 → SSH 계정을 사전공격(Dictionary Attack)
** IRC 프로토콜
: C2서버와 통신시 사용. 실시간 인터넷 채팅 프로토콜. 봇이 IRC서버 채널에 접속하여 탈취한 정보를 해당 재널에 전달하거나 공격자가 입력한 명령을 수행
- 최근에 유포 중인 쉘봇 악성코드: LiGhT's Modded perlbot v2, DDoS PBot v2.0., PowerBots (C) GohacK 3개로 분류
1) LiGT's Modded perlbot v2
✔ C&C 서버 및 입장할 채널 이름과 같은 설정 데이터들은 쉘봇의 초기 루틴에 존재
✔ IRC 채널 입장 닉네임 : IP-랜덤한5개숫자
✔ 기능 : TCP, UDP, HTTP Flooding 같은 DDoS 공격 / 리버스쉘, 로그삭제, 스캐너와 같은 시스템 제어 및 다른 공격에 이용
2) DDoS PBat V2.0
✔ 초기 루틴에서 주석을 통해 기본 정보 / 명령어를 보여줌
✔ IRS 채널 입장 : ‘abbore’, ‘ably’, ‘abyss’를 포함한 500개가 넘는 닉네임들 중 하나를 랜덤으로 선택해 IRC 채널에 입장
✔ 명령을 내리기 윟애서는 채널에 입장한 사용자의 닉네임과 호스트 주소를 검증. 호스트는 'hostauth' 변수에 지정된 'localhost'여야 함.
✔ 기능 : DDoS 공격을 포함한 다양한 악의적인 명령 제공
3) PowerBots (C) GohacK
✔ 단순한 형태
✔ 기능 : 리버스 쉘, 파일 다운롤드 기능이 주요 기능.
안랩 ASEC 블로그, 리눅스 SSH 서버를 대상으로 유포 중인 ShellBot 악성코드, https://asec.ahnlab.com/ko/49313/
김영명 기자, 쉘봇 악성코드, 취약점 노출된 리눅스 SSH 서버 대상 집중 공격, 보안뉴스, https://www.boannews.com/media/view.asp?idx=115088
쉘봇 악성코드, 취약점 노출된 리눅스 SSH 서버 대상 집중 공격
최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 쉘봇(ShellBot) 악성코드들이 설치되고 있는 것이 확인됐다. 펄봇(PerlBot)이라고도 불리는 쉘봇은 펄(Perl) 언어로 개발된 디도스봇(DDoS Bot
www.boannews.com
