리눅스 SSH 서버를 대상으로 유포 중인 ChinaZ DDoS Bot 악성코드

데스트탑을 대상으로 한 공격

- 웹 브라우저나 메일 첨부 파일을 통해 이루어짐

- 악성코드 설치를 유도하기 위해 정상 프로그램으로 위장해 악성코드 유포

 

서버를 대상으로 한 공격

- 데스트탑을 대상으로 한 공격 양상으로는 한계가 존재함

- 부적절하게 관리되고 있거나 최신 버전으로 패치를 하지 않아 취약점 공격에 취약한 서비스를 노림

ex) 단순한 형태의 계정 정보 사용, RDP(window), Telnet(Linux, 임베디드 리눅스 OS의 IoT)

 

1. 계정 획득(SSH 스캔 -> SSH 계정 정보 사전 공격 진행)
2. iptables 방화벽 비활성화
3. ChinaZ를 리눅스 서버에 설치
4. 지속성 유지를 위해 rc.local에 등록함

uname

unix name의 줄임말로 유닉스 계열의 컴퓨터 OS의 이름, 시스템 정보, 커널 정보를 확인하는 명령어

cat, ethtool 명령어를 통해 정보 수집 후 C&C 서버로 보냄

 

ChinaZ는 공격자의 명령을 받아 특정 대상에 대한 DDoS 공격을 수행하는 Bot이 될 수 있음

 

 

 

참고 사이트

https://asec.ahnlab.com/ko/49845/