Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Linux를 대상으로 하는 새로운 Abcbot 봇넷
작성일 2021-11-16 조회 173

Botnet Malware

 

중국 Qihoo 360의 Netlab 보안 연구원들은 필드에서 관찰된 새로운 진화하는 봇넷 'Abcbot'의 상세 분석 내용을 공개하였다.

 

최근까지 관찰된 봇넷의 새로운 변종에는 약한 강도의 패스워드가 설정된 Linux 웹 서버를 공격하기 위한 업데이트가 적용되어 있으며, DDoS 기능과 N-Day 취약점 공격이 추가되어 있었다.

 

Netlab의 이번 연구 결과는 지난달 초 TrendMicro의 보고서에도 나온 것으로, 가상화폐 채굴 및 크립토재킹 악성코드로 화웨이 클라우드를 겨냥한 공격이었다. 이러한 공격에서 악성 쉘 스크립트가 서버를 모니터링하고 보안 문제를 검사하며, 사용자의 암호를 Elastic 클라우드 서비스로 재설정하도록 설계된 프로세스를 비활성화 했다는 사실 또한 주목할 만했다.

 

중국의 보안 회사에 따르면, 이러한 쉘 스크립트는 Abcbot을 유포하는데 사용되고 있고, 지금까지 총 6가지 버전의 봇넷이 관찰되었다.

 

봇넷이 설치되면, 멀웨어는 감염된 장치를 웹 서버로 용도를 변경하고, 시스템 정보를 C2(명령 제어)서버에 보고하며, 열린 포트를 검색하여 멀웨어를 새 장치로 전파하여 자동 업데이트 하는 일련의 단계를 실행하도록 트리거한다.

 

Botnet Malware

[그림 1. Abcbot 디버깅]

 

10월 21일 관찰된 샘플에서 Abcbot은 오픈소스 ATK 루트킷을 이용하여 DDoS 기능을 구현한 것을 확인할 수 있었지만, 이 기능은 10월 30일 후속 샘플에서 제거되었다.

 

출처

https://thehackernews.com/2021/11/abcbot-new-evolving-wormable-botnet.html

첨부파일 첨부파일이 없습니다.
태그 Abcbot  봇넷