기사 개요:
Perl 언어로 작성된 ShellBot(PerlBot이라고도 함)이라는 악성 코드가 취약한 Linux SSH 서버에 설치됩니다.
해당 악성코드는 DDos 봇 악성코드로 IRC 프로토콜을 사용하여 C2 서버와 통신하는 것이 특징이다.
– Shellbot의 대상 : 관리가 부실하거나 최신 버전으로 패치되지 않아 취약점에 노출된 서비스.
– 부적절하게 관리되는 서버: 단순한 형태의 계정 정보를 사용하는 경우
예: 배포 –password, hadoop –hadoop, oracle –oracle, root –11111, root –passw0rd, ttx –ttx2011, ubnt –ubnt
– Shellbot: SSH BruteForce 공격으로 스캔 후 포트 22인 SSH 서비스가 작동하는지 확인 → SSH 계정에 대한 사전 공격
![[기획] HTTP 상태 코드 정리](https://see.main.seoul.kr/wp-content/plugins/contextual-related-posts/default.png "[기획] HTTP 상태 코드 정리")
** IRC 프로토콜
: C2 서버와 통신할 때 사용합니다.
실시간 인터넷 채팅 로그. 봇은 IRC 서버 채널에 접속하여 훔친 정보를 적절한 채널로 전달하거나 공격자가 입력한 명령을 실행합니다.
– 최근 유포된 쉘봇 악성코드: LiGhT의 Modded perlbot v2, DDoS PBot v2.0. 및 PowerBots(C) GohacK.
1) LiGT의 수정된 Perlbot v2
C&C 서버와 입력할 채널 이름과 같은 구성 데이터는 shellbot의 초기화 루틴에 존재합니다.
IRC 채널 진입 닉네임: IP-5 난수
기능 : TCP, UDP, HTTP Flooding 등의 DDoS 공격 / Reverse Shell, Log Wipe, Scanner 등의 Control Panel 공격에 사용
2) 디도스 PBat V2.0
초기 루틴에서 주석을 통해 기본 정보/명령 표시
IRS 채널 입력: abbore, ably, abyss를 포함한 500개 이상의 닉네임 중 하나를 무작위로 선택하여 IRC 채널에 가입하세요.
명령을 내리면 채널에 가입한 사용자의 닉네임과 호스트 주소를 확인합니다.
호스트는 hostauth 변수에 지정된 localhost여야 합니다.
기능: DDoS 공격을 포함한 다양한 악성 명령 배포
3) 파워봇의 (C) 고핵
단순한 모양
특징: 리버스 쉘, 파일 다운로드 기능이 주요 기능입니다.
안철수연구소 ASEC 블로그, Linux SSH 서버에 ShellBot 악성코드 유포, https://asec.ahnlab.com/de/49313/
김영명 기자 Shellbot 악성코드, 취약점이 드러난 Linux SSH 서버에 대한 집중 공격, 보안 뉴스, https://www.boannews.com/media/view.asp?idx=115088
취약점이 노출된 Linux SSH 서버 공격에 초점을 맞춘 Shellbot 악성코드
ShellBot 악성코드는 최근 부적절하게 관리되는 Linux SSH 서버에 설치된 것으로 확인되었습니다.
PerlBot이라고도 하는 Shellbot은 Perl 언어로 개발된 DDoS 봇입니다.
www.boannews.com