Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Stantinko Botnet, 프록시 숨기기 위한 Linux 서버 지정하기 시작
작성일 2020-11-25 조회 171

Linux 악성 코드

 

2012년 이후 러시아, 우크라이나, 벨로루시, 카자흐스탄을 겨냥한 애드웨어와 코인 채굴 봇넷은 적어도 2012년 이후로 리눅스 서버를 목표로 하고 있다.


Intezer와 The Hacker News가 발표한 새로운 분석에 따르면, 트로이 목마는 리눅스 서버에서 흔히 사용되는 프로그램인 HTTPd로 가장하고, Stantinko로 추적되는 위협 행위자에 속하는 악성코드의 새로운 버전이다.


지난 2017년 ESET 연구진은 불법 복제 소프트웨어를 찾는 사용자들을 속여 토렌트로 위장한 악성 실행 파일을 다운로드하여 광고 삽입과 클릭 사기를 수행하는 악성 브라우저 확장 프로그램을 설치하는 방식으로 작동하는 대규모 애드웨어 봇넷에 관해 설명했다.


50만 봇으로 이루어진 방대하고 은밀한 캠페인은 그들의 통제하에 있는 컴퓨터로부터 이익을 얻기 위한 목적으로 암호 채굴 모듈의 형태로 상당한 업그레이드를 받았다.


Stantinko는 전통적으로 Window 악성코드였지만, Linux를 대상으로 하는 도구 세트의 확장은 눈에 띄지 않았다.  ESET은 손상된 서버에서 악성 바이너리를 통해 배포된 Linux 트로이 목마 프록시를 관찰했다.


Intezer의 최근 연구는 이 Linux 프록시에 대한 새로운 정보를 제공하며, 특히 "httpd"라고 불리는 동일한 멀웨어의(v1.2) 최신 버전(v2.17)을 러시아에서 11월 7일 VirusTotal에 업로드했다.


실행 시, "httpd"는 맬웨어와 함께 전달되는 "etc/pd.d/proxy.conf"에 위치한 구성 파일의 유효성 검사를 하고, 소켓과 수신기를 만들어 이를 추적하여 연구자가 다른 감염된 시스템으로부터 연결을 수신한다.


감염된 클라이언트의 HTTP Post 요청은 프록시가 요청을 공격자가 제어하는 서버로 전달하고, 그런 다음 프록시에 의해 클라이언트로 전달되는 적절한 페이로드로 응답한다.


감염되지 않은 클라이언트가 손상된 서버로 HTTP Get 요청을 전송하는 경우, 구성 파일에 미리 지정된 URL로 HTTP 301 리디렉션이 다시 전송된다.


Intezer 연구원들은 새로운 버전의 악성코드는 프록시로만 가능하다고 말하면서 새로운 변종은 구버전과 여러 기능 이름을 공유하며 일부 하드 코딩된 경로는 이전 Stantinko 캠페인과 유사하다고 말했다.

 


출처
https://thehackernews.com/2020/11/stantinko-botnet-now-targeting-linux.html

첨부파일 첨부파일이 없습니다.
태그 Stantinko  httpd