국내 리눅스 시스템 공격에 사용되는 블루셸 악성코드 유포

2024-02-12 22:40
  • 카카오톡
  • 네이버 블로그
  • url
7차례 기능 업그레이드해서 공격하는 블루셸 악성코드, 한국에서 꾸준히 발견
최근 ID 명령어 위장한 새로운 드로퍼 악성코드 포착...시스템 제어권 탈취 우려


[보안뉴스 박은주 기자] 최근 국내 리눅스 시스템을 대상으로 백도어 악성코드인 ‘블루셸(BlueShell) 악성코드’를 사용한 공격이 확인됐다. 블루셸 악성코드가 시스템에 설치될 경우 공격자의 명령을 받아 다양한 악성 행위를 저지르며, 시스템 제어권을 탈취당할 수 있다.


▲깃허브에 공개되어 있는 BlueShell 백도어[자료=ASEC]

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 이번에 발견된 블루셸 악성코드는 2023년 우리나라 및 태국을 대상으로 감행한 APT 공격에 사용된 악성코드와 같은 유형으로 밝혀졌다. 해당 악성코드는 공격 대상을 검사하는 조건에 리눅스 시스템의 호스트 이름을 검사할 수 있지만, 해당 정보 단독으로 공격 대상을 특정하기는 어려움이 존재했다. 즉 악성코드만으로는 초기 침투 방식과 같은 연관 정보는 확인할 수 없었던 것.

그러나 최근 같은 유형의 블루셸 악성코드에서 ID 명령어를 위장한 새로운 드로퍼 악성코드가 확인됐으며, 추가 악성코드 및 명령제어(C&C) 서버가 확인됐다. 악성코드에 감염된 시스템은 제어권을 공격자에게 탈취당할 수 있어 각별한 주의가 요구된다.

블루셸은 Go 언어로 개발된 백도어 악성코드로서, 깃허브에 공개되어 있으며 윈도우·리눅스·맥 운영체제를 지원한다. 설명이 적혀 있는 ReadMe 파일이 중국어인 것이 특징인데, 이는 제작자가 중국어 사용자일 가능성을 보여준다. 블루셸은 지속해서 국내 대상 공격에 사용되고 있다.

기능상 단순한 형태인 블루셸은 C&C 서버와의 통신에 TLS 암호화를 지원해 네트워크 탐지를 우회한다. 공격자의 명령을 받아 수행할 수 있는 기능으로는 원격 명령 실행, 파일 다운로드·업로드, Socks5 프록시가 있다.

블루셸은 3개의 설정 데이터를 가지고 있는데 C&C 서버의 IP 주소, Port 번호, 그리고 대기 시간이다. 일반적으로 설정 데이터는 악성코드 제작 시 바이너리에 하드코딩돼 저장되며 이후 ‘init()’ 함수에서 초기화 과정을 거쳐 사용된다.

이번에 확인된 유형은 드로퍼를 생성하는 또 다른 상위 드로퍼가 함께 확인됐다. 상위 드로퍼 악성코드는 ‘id’라는 이름으로 접수됐으며, 이름과 같이 리눅스의 ‘id’ 명령을 위장함과 동시에 블루셸 드로퍼, 최종적으로 블루셸l 백도어 악성코드를 설치한다. 공격자는 지속성 유지를 위해 ‘id’ 명령어가 위치한 바이너리를 악성코드로 변경해 해당 명령이 실행될 때마다 악성코드가 지속해서 실행될 수 있도록 한 것으로 추정된다.

해당 악성코드는 실행 시 먼저 자신을 읽어와 메모리에 저장한 후 자가 삭제한다. 이후 현재 실행 중인 프로세스와 동일한 이름으로 파일을 쓰고 실행한다. 상위 드로퍼는 기존 밝혀진 블루셸 드로퍼와 달리 바이너리를 암호화하지 않고 가지고 있는 것이 특징이다.


▲동일 유형 악성코드의 일자별 유포 현황[표=ASEC]

지금까지 확인된 블루셸 악성코드는 위 표와 같다. 공격자는 적어도 7번에 걸쳐 악성코드를 제작해 공격에 사용했으며 매번 거의 유사한 형태를 띠고 있다. 바이러스 토탈(VirusTotal)에서 해당 악성코드를 올린 국가를 보면, 공격 대상이 된 것으로 추정되는 국가는 대부분 대한민국이며 최소한 2022년부터 2023년까지 공격이 지속된 것으로 보인다.

ASEC는 이와 같은 보안 위협을 방지하기 위해 취약한 환경 설정을 검사하고, 관련 시스템들을 항상 최신 버전으로 업데이트해 해당 공격으로부터 보호해야 한다고 당부했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

    • 제이슨

    • 라온시큐어

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기