40만 개 이상의 리눅스 서버들을 조용히 감염시킨 에버리

2024-05-21 16:23
  • 카카오톡
  • 네이버 블로그
  • url
암호화폐 탈취 및 금융 사고들이 증가하고 있는 가운데, 15년 된 멀웨어 하나가 조용히 자기 역할을 하고 있다는 사실이 밝혀졌다.

[보안뉴스 문가용 기자] 리눅스 기반 봇넷 하나가 왕성하게 활동하기 시작했다. 그러면서 각종 금융 사기와 암호화폐 탈취 공격을 활성화시키는 중이다. 이 봇넷은 에버리(Ebury)인데, 이미 15년 전에 처음 발견된, 고대 유물과 같은 위협이다. 최근에 다시 등장해 벌써 40만 개가 넘는 리눅스 서버들을 공략했다. 보안 업체 이셋(ESET)에 따르면 아직도 침해된 채 복구되지 않은 서버거 10만 개를 넘는다고 한다.


[이미지 = gettyimagesbank]

에버리?
에버리는 오픈SSH 백도어의 하나로, SSH 키나 비밀번호와 같은 크리덴셜들을 훔치는 기능을 가지고 있다. 감염된 서버에 백도어를 생성하며, 이 백도어는 두 번째 멀웨어 모듈을 피해 서버에 한 번 더 심는다. 이 단계에서 여러 가지가 사용되는데, 그 중 하나는 HTTP 백도어 중 하나인 씨독트(Cdorked)이다. 시독트는 웹 트래픽을 우회시키고 DNS 설정을 조작할 수 있게 해 주는 멀웨어이다. 그 외에 카프봇(Calfbot)이라는 펄 스크립트도 자주 사용된다.

지난 수년 동안 에버리는 각종 스팸 배포 플랫폼으로서 널리 활용되어 왔다. 웹 트래픽을 우회시키고 크리덴셜을 훔치는 유형의 공격에도 인기리에 채용되었다. 하지만 최근 에버리 운영자들은 주로 신용카드 정보나 암호화폐를 훔치는 데 사용하기 시작했다고 한다.

공격자들은 ‘중간위협자(adversary in the middle)’라는 전략을 사용해 SSH 트래픽을 가로채는데, 비트코인이나 이더리움 노드들에서 발생되는 트래픽이 주요 표적이 된다. 가로챈 트래픽은 자신들이 제어하는 서버로 가져간다. 그렇게 계속해서 트래픽을 가져가다가 피해자가 암호화폐 지갑 비밀번호를 입력하면 에버리가 자동으로 그 지갑에 접속해 사실상 지갑 자체를 훔쳐간다. 이러한 사실은 보안 업체 이셋(ESET)이 공개했다.

그 외에도 에버리의 운영자들은 신용카드 정보도 적극 노리는 것으로 분석됐다. 그냥 노리는 것이 아니라 다른 신용카드 정보 탈취자들을 견제하면서까지 노렸다. “에버리 멀웨어는 빅배드울프(BigBadWolf)라는 뱅킹 트로이목마를 탐지해 제거하는 기능을 가지고 있기도 합니다.” 이셋 측의 설명이다.

또한 에버리의 운영자들은 서버 관리자용 소프트웨어에 있는 제로데이 취약점들을 통해 서버를 대량으로 해킹하고 크리덴셜을 탈취하는 것으로도 밝혀졌다. 그렇게 확보한 로그인용 비밀번호나 키를 활용해 또 다른 시스템들로 로그인해 에버리를 확산시키는 것도 잊지 않았다. 한 호스팅 업체의 경우, 무려 7만 개의 서버가 에버리에 감염되어 있기도 했다.

이셋의 연구원인 마케띠엔느 레베이에(Marc-Etienne Léveillé)는 “에버리의 진짜 무서운 점은 한 데이터센터를 장악하면, 그 안에 있는 수많은 서버들을 감염시킨다는 것”이라고 지적했다. “2009년과 2011년 사이에 에버리는 커널(Kernel.org)를 해킹한 적이 있었는데, 당시 커널에서 근무하던 개발자들의 절반 이상이 SSH 비밀번호를 도난당했습니다. 그 정도로 어마어마하게 왕성한 확산력을 보여주는 게 에버리이죠.”

경찰과 강도들
2014년에 이셋은 네덜란드 경찰과 함께 에버리 멀웨어를 추적한 적이 있었다. 그 결과 2015년 에버리 운영자 중 한명이자 러시아인인 막심 세낙(Maxim Senak)을 체포하는 데 성공했다. 세낙은 핀란드와 러시아 국경선에서 체포됐고, 미국으로 인도됐다. 거기서 컴퓨터 해킹 및 금융 사기죄가 인정돼 46개월 형을 선고받았다. 최종 선고일은 2017년이었다.

세낙의 체포 이후 에버리는 활동량을 줄였다. 남은 운영자들은 더 이상 광고도 하지 않았고, 공격도 하지 않았다고 레베이에는 설명한다. “그러다가 2021년 암호화폐 탈취 사건의 한 피해자의 서버에서 에버리가 나왔습니다. 그래서 네덜란드 경찰과 저희 이셋은 다시 수사를 이어갔죠. 그리고 이들이 조용히 다시 활동을 시작했음을 알게 됐습니다.”

에버리에서부터 안전해지기
에버리는 주기적으로 새로운 기능을 입는다. 가장 최신 버전인 1.8.2의 경우 올해 초부터 발견되기 시작했는데, 각종 난독화 기술을 탑재하고 있었다. 거기에다가 기존의 것과 다른 도메인 생성 알고리즘도 있었고, 스텔스 기능이 강화된 루트깃도 내포하고 있었다. 따라서 기존 버전들보다 탐지하기가 더 어렵다고 한다. 이셋은 에버리에 대한 백서와 함께 침해지표를 같이 공개했다.

이셋의 첩보 분석가인 로버트 리포프스키(Robert Lipovsky)는 “탐지도 어렵지만 에버리를 삭제하고 서버와 데이터센터를 다시 깔끔하게 청소하는 게 더 어렵다”고 경고한다. “왜냐하면 에버리 운영자들은 훔친 크리덴셜을 자꾸만 재활용하기 때문입니다. 멀웨어를 다 찾아 지운다 한들, 크리덴셜까지 모조리 새로 설정하지 않는다면 안전할 수 없습니다.”

3줄 요약
1. 에버리라는 오래된 봇넷 멀웨어, 최근 조용히 활동해 수많은 서버들을 장악.
2. 특히 암호화폐 탈취 및 금융 사기 관련 범죄에 널리 활용되고 있음.
3. 데이터넷터 내 여러 서버들을 다량으로 감염시킨다는 게 가장 지독한 점.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 아마노코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 비전정보통신

    • 경인씨엔에스

    • (주)우경정보기술

    • 투윈스컴

    • 디비시스

    • 다후아테크놀로지코리아

    • 트루엔

    • 동양유니텍

    • 세연테크

    • 위트콘

    • 이오씨

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 포엠아이텍

    • 티에스아이솔루션

    • 넥스트림

    • 안랩

    • 데이티스바넷

    • 시큐어링크

    • 지란지교데이터

    • 삼오씨엔에스

    • 위즈코리아

    • 피앤피시큐어

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 앤디코

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 유투에스알

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 미래시그널

    • 두레옵트로닉스

    • 엘림광통신

    • 에스에스티랩

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 보문테크닉스

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 신화시스템

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기