아카마이, 리눅스 감염 대규모 디도스 경고

리눅스 시스템(Linux System)의 lptabLes와 lptabLex 감염이 기업보안에 위협을 가할 수 있다는 전망이 나왔다. 주요 표적 대상으로 엔터테인먼트 산업이 꼽혔다.

클라우드 서비스 기업 아카마이는 11일 프로렉식 보안 엔지니어링 및 리서치 팀 연구를 통해 새로운 사이버 보안 위협에 대한 대처방안을 제시했다.

이번에 발표된 보안 경고는 아카마이가 최근 인수 완료한 디도스(DDoS) 보호 서비스 업체인 프로렉식 테크놀로지(Prolexic Technologies)사의 홈페이지에서 보다 더 자세히 살펴볼 수 있다..

스튜어트 스콜리(Stuart Scholly) 아카마이 수석 부사장 겸 보안 부문 제너럴 매니저는 “IptabLes와 IptabLex 악성코드에 의한 리눅스 시스템 감염은 2014년 디도스 캠페인에서 관측된 디도스 공격 중 가장 주목할 만한 공격”이라며 “리눅스 운영 체제는 디도스 봇넷이 주로 공격하던 대상이 아니었기 때문에 더욱 그러하다”고 말했다.

공격자들은 패치가 잘 이루어지지 않다고 알려져 있는 리눅스 시스템을 악의적으로 이용하여 디도스 공격을 감행하려 한다는 의미다. 따라서 리눅스 관리자들은 이번 보안 위협에 대해 잘 알고 이에 대비해야 한다는 설명이다.

리눅스 상에서 디도스봇넷(DDoS Botnet)으로 인한lptabLes와 lptabLex 대규모 감염은 아파치 스트럿츠(Apache Struts), 톰캣(Tomcat) 및 엘라스틱서치(Elasticsearch) 내 취약점을 이용해 발생하는 것으로 보인다.

공격자들은 일반적으로 패치업데이트 등 상대적으로 관리가 허술한 서버들 상의 리눅스 운영체제가 가진 취약점들을 이용하여 시스템에 접근하고 원격으로 조종하여 시스템에 악성코드를 유포해 왔다. 따라서 감염이 된 시스템들은 디도스 봇넷의 일부로서 원격 통제가 가능하다.

시스템에 감염이 되면 페이로드(payload) 스크립트명이 부트디렉토리(/boot directory)에서 .IptabLes 혹은 .IptabLex로 나타난다. 이 스크립트 파일들은 재부팅시에 .IptabLes 바이너리를 실행한다. 또한 이 악성코드는 자체업데이트가 되어 감염된 시스템이 호스트에 접속하여 파일을 다운로드 할 수 있게 한다.

자체 실험 결과 감염된 시스템이 아시아 지역의 두 개의 서로 다른 IP주소로 접속하려 시도하는 것이 확인됐다.

IptabLes와 IptabLex의 명령 및 제어 센터(command and control center)는 현재 아시아에 위치해 있다. 비록 아시아에서 시작된 것으로 알려졌지만, 이 감염 시스템은 현재 미국을 비롯한 여러 지역의 서버에서 발생하고 있다. 과거 디도스봇 감염이 주로 러시아에서 시작되었던 것과 달리 현재는 대부분의 디도스 공격이 아시아에서 발생하고 있다.

리눅스 시스템 상에서 발생하는 IptabLes와 IptabLex 감염을 발견하고 방지하기 위해서는 리눅스 서버와 안티바이러스 진단(antivirus detection) 프로그램을 패치받고 강화해야 한다. 프로렉식 보안 엔지니어링 및 리서치 팀은 보안 경고 전문을 통해 감염된 시스템을 치료하기 위한 배쉬 명령어(Bash command)를 제공한다.

프로렉식은 레이트 리미팅(Rate Limiting) 기술을 제공해 DDoS 공격에 대한 대응 능력을 강화했다. 또한 야라(YARA)방식(Yara rule: 악성코드 위협을 확인하고 정리하기 위해 고안된 오픈소스 툴)을 공유하여 ELF IptabLes Payload를 확인할 수 있도록 하였다.

아카마이의 프로렉식 엔지니어링 및 리서치 팀은 악성코드가 확산되어 추가적인 감염이 일어날 것으로 예상하고 있다.