루마니아 출신으로 보이는 해커들이 암호화폐를 채굴하려고 새로운 도구를 들고 나왔다. 이 도구는 브루트포스 공격을 해 주는 것으로, 사실 사용자 측면에서 비밀번호를 제대로 관리하면 효율적으로 사용되기 힘든 것이다. 그럼에도 새로운 브루트포스 공격 툴이 나왔다는 건....
[보안뉴스 문가용 기자] 암호화폐를 노리는 사이버 범죄단 하나가 이전까지 한 번도 사용되지 않았던 SSH 브루트포스 공격 기법을 사용해 리눅스 기반 장비들에 걸려 있는 비밀번호들을 크랙 중이다. 특히 ‘간단하고 쉬운’ 비밀번호들이 집중적으로 공략당하는 중이라고 한다. 이 공격자들은 루마니아에 있는 것으로 의심된다.
[이미지 = utoimage]
공격자들이 새로운 브루트포스 기법을 활용하는 등 새로운 공격을 실시하는 궁극적인 목표는 모네로(Monero)라는 암호화폐를 채굴하기 위해서다. 보안 업체 비트디펜더(Bitdefender)에 의하면 공격자들은 모네로를 채굴하는 멀웨어를 유포하고 있으며, 최소 두 개의 디도스 봇넷을 활용하여 공격을 실시하는 중이라고 한다.
현재까지 밝혀진 바 이 봇넷은 리눅스를 기반으로 한 체르노빌(Chernobyl)과 펄 IRC를 기반으로 한 디도스 공격용 봇넷이라고 한다. 지금은 채굴 행위에 머물러 있지만 다른 공격으로 전환도 가능하다는 뜻이다. 디도스를 예고함으로써 피해자에게 돈을 갈취하는 ‘랜섬디도스’ 공격 역시 최근 범죄자들 사이에서 유행하기 시작했다는 걸 감안하면 이들이 디도스 봇넷을 사용하고 있는 것이 우연만은 아닌 것으로 보인다.
비트디펜더의 관심을 끈 건 공격자들이 사용하는 브루트포스 공격 도구인 다이콧 브루트(Diicot brute)였다. 이전까지 한 번도 발견되지 않았던 공격 도구이기 때문이다. 다이콧 브루트가 활발히 사용된 건 지난 1월부터로 분석되고 있으며, 아직까지 웜(worm) 방식으로 증식하는 면모를 보이고 있지는 않다고 한다. 즉 공격의 발원지로 탐지되는 IP 주소의 영역이 아직까지는 좁다는 뜻이다. 그 외에 공격자들은 배시 스크립트를 어마어마한 양으로 사용해 난독화를 꾀하고 있으며, 디스코드로 정보를 주고받는 행태를 보인다고 한다.
슬랙(Slack)과 디스코드(Discord)와 같은 대화 및 협업 도구는 최근 공격자들 사이에서 활발히 연구되고 있다. 그러면서 보안 장치들을 우회하고, 멀웨어를 유포하고, 정보를 빼돌리는 데에 이런 정상 커뮤니케이션 도구들을 활용하는 방안이 마련되고 있다. 지난 4월 시스코의 탈로스(Talos) 보안 팀은 “이런 협업 툴들을 통해 2만 여 종의 바이러스가 퍼지고 있다”고 발표한 바 있다.
이번 캠페인의 경우 비트디펜더가 분석해 낸 공격의 순서는 다음과 같다.
1) 공격자들은 제일 먼저 ‘약한 크리덴셜’을 찾아내야 했다. 따라서 이들은 스캔을 실시했다.공격자들은 여러 아카이브를 자신들의 서버에 호스팅했는데, 여기에는 jack.tar.gz, juanito.tar.gz, scn.tar.gz, skamelot.tar.gz과 같은 것들이 있었다. 이 파일들에는 약한 SSH 크리덴셜을 뚫어내는 도구들이 저장되어 있었다.
2) 이 아카이브에 저장된 도구들을 활용함으로써 공격자들은 포트 스캐닝(port scanning)과 배너 그래빙(banner grabbing)과 같은 방법을 구사할 수 있었고, 이를 통해 SSH서버들을 찾아냈다. 그 외 ps와 massscan이라는 도구도 활용했다.
3) 찾아낸 서버들에 브루트포스 공격 기법을 실시함으로써 SSH에 연결하는 데 성공했고, 추가 페이로드를 설치해 시스템들을 감염시켰다. 브루트포스 공격에 사용된 도구는 다이콧 브루트이며 고(Go) 언어로 작성됐으며, 이전까지 한 번도 발견된 적이 없는 도구다. 최종적으로 시스템에 설치된 건 XM리그(XMRig)라는 오픈소스 채굴 소프트웨어다.
이번 캠페인이 주는 가장 큰 교훈은 “브루트포스가 아직도 통한다는 사실”이라고 비트디펜더는 꼬집는다. “이 공격을 진행한 공격자들의 공격 수법을 보면 대단히 허술하다는 걸 알 수 있습니다. 비밀번호만 조금 어렵게 설정해 두었더라도 이번 공격은 성립할 수 없다는 뜻이죠. 지금 시대에 브루트포스 공격이 통한다? 이유는 전부 사용자에게 있습니다. 간단합니다. 새로운 브루트포스 도구가 나왔다는 건, 사용자들의 이러한 허점을 공격자들이 계속해서 이용하겠다는 뜻입니다.”
흥미로운 사실은 이 다이콧 브루트가 SaaS 모델로 제공되고 있다는 것이다. 즉 한 탕 노리려고 마음먹고 개발한 도구가 아니라 지속성 있는 사업 모델로서 ‘브루트포스 도구’가 개발되었다는 뜻이다. 범죄자들은 돈만 내면 다이콧 브루트를 대여해 사용할 수 있다. 공격자들이 이러한 영역에서 사업성을 꾀한다는 건, 사용자들이 앞으로도 영원히 비밀번호를 어렵게 설정하거나 안전하게 관리하지 않을 거라는 걸 알고 있다고 말하는 듯한 현상이다.
3줄 요약
1. 루마니아의 공격자들, 암호화폐 채굴 캠페인 벌이려 SSH 브루트포스 공격 실시.
2. 브루트포스 공격을 실시한다는 건, 사용자들이 비밀번호를 허술하게 설정한다는 뜻.
3. 이번에 사용된 브루트포스 공격 도구는 SaaS 모델로서 새롭게 개발된 것.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 암호화폐를 노리는 사이버 범죄단 하나가 이전까지 한 번도 사용되지 않았던 SSH 브루트포스 공격 기법을 사용해 리눅스 기반 장비들에 걸려 있는 비밀번호들을 크랙 중이다. 특히 ‘간단하고 쉬운’ 비밀번호들이 집중적으로 공략당하는 중이라고 한다. 이 공격자들은 루마니아에 있는 것으로 의심된다.
[이미지 = utoimage]
공격자들이 새로운 브루트포스 기법을 활용하는 등 새로운 공격을 실시하는 궁극적인 목표는 모네로(Monero)라는 암호화폐를 채굴하기 위해서다. 보안 업체 비트디펜더(Bitdefender)에 의하면 공격자들은 모네로를 채굴하는 멀웨어를 유포하고 있으며, 최소 두 개의 디도스 봇넷을 활용하여 공격을 실시하는 중이라고 한다.
현재까지 밝혀진 바 이 봇넷은 리눅스를 기반으로 한 체르노빌(Chernobyl)과 펄 IRC를 기반으로 한 디도스 공격용 봇넷이라고 한다. 지금은 채굴 행위에 머물러 있지만 다른 공격으로 전환도 가능하다는 뜻이다. 디도스를 예고함으로써 피해자에게 돈을 갈취하는 ‘랜섬디도스’ 공격 역시 최근 범죄자들 사이에서 유행하기 시작했다는 걸 감안하면 이들이 디도스 봇넷을 사용하고 있는 것이 우연만은 아닌 것으로 보인다.
비트디펜더의 관심을 끈 건 공격자들이 사용하는 브루트포스 공격 도구인 다이콧 브루트(Diicot brute)였다. 이전까지 한 번도 발견되지 않았던 공격 도구이기 때문이다. 다이콧 브루트가 활발히 사용된 건 지난 1월부터로 분석되고 있으며, 아직까지 웜(worm) 방식으로 증식하는 면모를 보이고 있지는 않다고 한다. 즉 공격의 발원지로 탐지되는 IP 주소의 영역이 아직까지는 좁다는 뜻이다. 그 외에 공격자들은 배시 스크립트를 어마어마한 양으로 사용해 난독화를 꾀하고 있으며, 디스코드로 정보를 주고받는 행태를 보인다고 한다.
슬랙(Slack)과 디스코드(Discord)와 같은 대화 및 협업 도구는 최근 공격자들 사이에서 활발히 연구되고 있다. 그러면서 보안 장치들을 우회하고, 멀웨어를 유포하고, 정보를 빼돌리는 데에 이런 정상 커뮤니케이션 도구들을 활용하는 방안이 마련되고 있다. 지난 4월 시스코의 탈로스(Talos) 보안 팀은 “이런 협업 툴들을 통해 2만 여 종의 바이러스가 퍼지고 있다”고 발표한 바 있다.
이번 캠페인의 경우 비트디펜더가 분석해 낸 공격의 순서는 다음과 같다.
1) 공격자들은 제일 먼저 ‘약한 크리덴셜’을 찾아내야 했다. 따라서 이들은 스캔을 실시했다.공격자들은 여러 아카이브를 자신들의 서버에 호스팅했는데, 여기에는 jack.tar.gz, juanito.tar.gz, scn.tar.gz, skamelot.tar.gz과 같은 것들이 있었다. 이 파일들에는 약한 SSH 크리덴셜을 뚫어내는 도구들이 저장되어 있었다.
2) 이 아카이브에 저장된 도구들을 활용함으로써 공격자들은 포트 스캐닝(port scanning)과 배너 그래빙(banner grabbing)과 같은 방법을 구사할 수 있었고, 이를 통해 SSH서버들을 찾아냈다. 그 외 ps와 massscan이라는 도구도 활용했다.
3) 찾아낸 서버들에 브루트포스 공격 기법을 실시함으로써 SSH에 연결하는 데 성공했고, 추가 페이로드를 설치해 시스템들을 감염시켰다. 브루트포스 공격에 사용된 도구는 다이콧 브루트이며 고(Go) 언어로 작성됐으며, 이전까지 한 번도 발견된 적이 없는 도구다. 최종적으로 시스템에 설치된 건 XM리그(XMRig)라는 오픈소스 채굴 소프트웨어다.
이번 캠페인이 주는 가장 큰 교훈은 “브루트포스가 아직도 통한다는 사실”이라고 비트디펜더는 꼬집는다. “이 공격을 진행한 공격자들의 공격 수법을 보면 대단히 허술하다는 걸 알 수 있습니다. 비밀번호만 조금 어렵게 설정해 두었더라도 이번 공격은 성립할 수 없다는 뜻이죠. 지금 시대에 브루트포스 공격이 통한다? 이유는 전부 사용자에게 있습니다. 간단합니다. 새로운 브루트포스 도구가 나왔다는 건, 사용자들의 이러한 허점을 공격자들이 계속해서 이용하겠다는 뜻입니다.”
흥미로운 사실은 이 다이콧 브루트가 SaaS 모델로 제공되고 있다는 것이다. 즉 한 탕 노리려고 마음먹고 개발한 도구가 아니라 지속성 있는 사업 모델로서 ‘브루트포스 도구’가 개발되었다는 뜻이다. 범죄자들은 돈만 내면 다이콧 브루트를 대여해 사용할 수 있다. 공격자들이 이러한 영역에서 사업성을 꾀한다는 건, 사용자들이 앞으로도 영원히 비밀번호를 어렵게 설정하거나 안전하게 관리하지 않을 거라는 걸 알고 있다고 말하는 듯한 현상이다.
3줄 요약
1. 루마니아의 공격자들, 암호화폐 채굴 캠페인 벌이려 SSH 브루트포스 공격 실시.
2. 브루트포스 공격을 실시한다는 건, 사용자들이 비밀번호를 허술하게 설정한다는 뜻.
3. 이번에 사용된 브루트포스 공격 도구는 SaaS 모델로서 새롭게 개발된 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
