국내 리눅스 시스템 공격에 사용되는 블루셸 악성코드 유포

2024-02-12 22:40
  • 카카오톡
  • 네이버 블로그
  • url
7차례 기능 업그레이드해서 공격하는 블루셸 악성코드, 한국에서 꾸준히 발견
최근 ID 명령어 위장한 새로운 드로퍼 악성코드 포착...시스템 제어권 탈취 우려


[보안뉴스 박은주 기자] 최근 국내 리눅스 시스템을 대상으로 백도어 악성코드인 ‘블루셸(BlueShell) 악성코드’를 사용한 공격이 확인됐다. 블루셸 악성코드가 시스템에 설치될 경우 공격자의 명령을 받아 다양한 악성 행위를 저지르며, 시스템 제어권을 탈취당할 수 있다.


▲깃허브에 공개되어 있는 BlueShell 백도어[자료=ASEC]

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 이번에 발견된 블루셸 악성코드는 2023년 우리나라 및 태국을 대상으로 감행한 APT 공격에 사용된 악성코드와 같은 유형으로 밝혀졌다. 해당 악성코드는 공격 대상을 검사하는 조건에 리눅스 시스템의 호스트 이름을 검사할 수 있지만, 해당 정보 단독으로 공격 대상을 특정하기는 어려움이 존재했다. 즉 악성코드만으로는 초기 침투 방식과 같은 연관 정보는 확인할 수 없었던 것.

그러나 최근 같은 유형의 블루셸 악성코드에서 ID 명령어를 위장한 새로운 드로퍼 악성코드가 확인됐으며, 추가 악성코드 및 명령제어(C&C) 서버가 확인됐다. 악성코드에 감염된 시스템은 제어권을 공격자에게 탈취당할 수 있어 각별한 주의가 요구된다.

블루셸은 Go 언어로 개발된 백도어 악성코드로서, 깃허브에 공개되어 있으며 윈도우·리눅스·맥 운영체제를 지원한다. 설명이 적혀 있는 ReadMe 파일이 중국어인 것이 특징인데, 이는 제작자가 중국어 사용자일 가능성을 보여준다. 블루셸은 지속해서 국내 대상 공격에 사용되고 있다.

기능상 단순한 형태인 블루셸은 C&C 서버와의 통신에 TLS 암호화를 지원해 네트워크 탐지를 우회한다. 공격자의 명령을 받아 수행할 수 있는 기능으로는 원격 명령 실행, 파일 다운로드·업로드, Socks5 프록시가 있다.

블루셸은 3개의 설정 데이터를 가지고 있는데 C&C 서버의 IP 주소, Port 번호, 그리고 대기 시간이다. 일반적으로 설정 데이터는 악성코드 제작 시 바이너리에 하드코딩돼 저장되며 이후 ‘init()’ 함수에서 초기화 과정을 거쳐 사용된다.

이번에 확인된 유형은 드로퍼를 생성하는 또 다른 상위 드로퍼가 함께 확인됐다. 상위 드로퍼 악성코드는 ‘id’라는 이름으로 접수됐으며, 이름과 같이 리눅스의 ‘id’ 명령을 위장함과 동시에 블루셸 드로퍼, 최종적으로 블루셸l 백도어 악성코드를 설치한다. 공격자는 지속성 유지를 위해 ‘id’ 명령어가 위치한 바이너리를 악성코드로 변경해 해당 명령이 실행될 때마다 악성코드가 지속해서 실행될 수 있도록 한 것으로 추정된다.

해당 악성코드는 실행 시 먼저 자신을 읽어와 메모리에 저장한 후 자가 삭제한다. 이후 현재 실행 중인 프로세스와 동일한 이름으로 파일을 쓰고 실행한다. 상위 드로퍼는 기존 밝혀진 블루셸 드로퍼와 달리 바이너리를 암호화하지 않고 가지고 있는 것이 특징이다.


▲동일 유형 악성코드의 일자별 유포 현황[표=ASEC]

지금까지 확인된 블루셸 악성코드는 위 표와 같다. 공격자는 적어도 7번에 걸쳐 악성코드를 제작해 공격에 사용했으며 매번 거의 유사한 형태를 띠고 있다. 바이러스 토탈(VirusTotal)에서 해당 악성코드를 올린 국가를 보면, 공격 대상이 된 것으로 추정되는 국가는 대부분 대한민국이며 최소한 2022년부터 2023년까지 공격이 지속된 것으로 보인다.

ASEC는 이와 같은 보안 위협을 방지하기 위해 취약한 환경 설정을 검사하고, 관련 시스템들을 항상 최신 버전으로 업데이트해 해당 공격으로부터 보호해야 한다고 당부했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전

    • 인콘

    • 모토로라시스템

    • 마이크로시스템

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 비전정보통신

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 엔토스정보통신

    • 아이서티

    • 경인씨엔에스

    • 메인아이티

    • 성현시스템

    • 효성인포메이션시스템

    • 다후아테크놀로지코리아

    • 디비시스

    • 아이리스아이디

    • 한국씨텍

    • 지오멕스소프트

    • 이오씨

    • 투윈스컴

    • 이에스티씨

    • (주)우경정보기술

    • 살토시스템

    • 유니뷰코리아

    • 세연테크

    • 이앤엠솔루션

    • 위트콘

    • 트루엔

    • 엔텍디바이스코리아

    • 포엠아이텍

    • 유에치디프로

    • 주식회사 에스카

    • 넥스트림

    • 포티넷

    • 휴네시온

    • 안랩

    • 나온웍스

    • 클래로티

    • 앤앤에스피

    • 이글루코퍼레이션

    • 노조미네트웍스

    • 카스퍼스키랩코리아

    • 한드림넷

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 사라다

    • 아이엔아이

    • 풍림무약주식회사

    • 새눈

    • 앤디코

    • 태정이엔지

    • 네티마시스템

    • 에이앤티코리아

    • 모스타

    • 미래시그널

    • 유투에스알

    • (주)일산정밀

    • HGS KOREA

    • 에스에스티랩

    • 에이앤티글로벌

    • 주식회사 알씨

    • 창성에이스산업

    • 엔에스티정보통신

    • 보문테크닉스

    • 엘림광통신

    • 메트로게이트
      시큐리티 게이트

    • 현대틸스
      팬틸트 / 카메라

    • 티에스아이솔루션

    • 두레옵트로닉스

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 지와이네트웍스

    • 구네보코리아주식회사

    • 동양유니텍

    • 포커스에이치앤에스

    • 엔시드

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기