2020-01-26 23:00 (일)
온라인에 노출된 SSH 서버 손상시키는 신종 악성코드 'GoScanSSH' 발견
상태바
온라인에 노출된 SSH 서버 손상시키는 신종 악성코드 'GoScanSSH' 발견
  • 길민권 기자
  • 승인 2018.03.29 01:20
이 기사를 공유합니다

Go 프로그래밍 언어 사용해 개발...정부와 군사 네트워크 제외하고 유포

stock-market-2616931_640.jpg
보안 전문가들이 온라인에 노출된 SSH 서버를 손상시키는 새로운 악성코드인 GoScanSSH를 발견했다.

이 악성코드는 악성 프로그램에는 잘 사용 되지 않는 Go 프로그래밍 언어를 사용해 개발되었으며, 정부 및 군사 네트워크는 감염시키지 않는 등의 다양한 기능이 구현되어 있다.

공격자들은 감염 된 시스템마다 고유한 악성코드를 생성했다. 또한 GoScanSSH의 C&C 인프라는 Tor2Web 프록시 서비스를 사용해 서버 추적을 어렵게 하고 사용이 중단 되더라도 복원이 쉽도록 했다.

GoScanSSH는 공개적으로 접근 가능하고 패스워드 기반의 SSH 인증이 가능한 SSH 서버들에 브루트포싱 공격을 실시한다. 해커들은 7천개의 계정/패스워드 조합이 포함 된 목록을 사용한다. 유효한 계정 정보를 발견할 경우, 고유한 GoScanSSH 악성코드 바이너리가 생성 되며 손상 된 SSH 서버에 업로드 및 실행된다.

GoScanSSH는 취약한 SSH 서버를 검색할 때 특수 용도 주소 사용을 피하고 랜덤으로 IP 주소를 생성해 사용한다. 이후 CIDR block 목록과 각각의 IP주소를 비교하여 매칭 될 경우 스캔을 시도하지 않는다. 이는 정부와 군사의 네트워크를 피하기 위해서다.

이 악성코드는 특히 미 국방부에 등록 된 IP주소를 피하는 것으로 나타났다. 또한 전문가들은 해당 리스트의 네트워크 목록 중 한국의 한 조직에 할당 된 주소들도 발견했다.

연구원들은 GoScanSSH 악성코드 패밀리와 관련 된 샘플들을 70개 이상 발견했다. 또한 x86, x86_64, ARM, MIPS64 등 시스템 다수를 지원하도록 컴파일 된 샘플들도 발견했다.

전문가들은 또한 해당 악성코드의 여러 버전이 실제로 사용되고 있는 것을 발견했다. 이는 공격자들이 해당 악성코드를 지속적으로 개선시키고 있음을 나타낸다.

보안연구원들은 "공격자들이 더 큰 네트워크를 침해하려 시도하고 있는 것으로 보이며, 이에 충분한 기술과 자원을 보유한 것으로 추측하고 있다"며 "이들은 지난해 6월부터 활동 중이었다. 그리고 이미 C&C 250곳을 사용하는 GoScanSSH 악성코드의 버전 70개를 배포했다"고 전했다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★