SSHStalker 봇넷
사이버 보안 분석가들은 명령 및 제어(C2) 통신을 위해 인터넷 릴레이 채팅(IRC) 프로토콜을 활용하는 SSHstalker라는 봇넷 운영을 발견했습니다. 기존 IRC 봇넷 작동 방식과 자동화된 대규모 침해 기술을 결합한 이 캠페인은 인프라 침투를 위한 치밀하고 체계적인 접근 방식을 보여줍니다.
빠른 수익 창출을 우선시하는 최신 봇넷과 달리, SSHStalker는 지속성과 통제된 확장을 강조하며, 이는 즉각적인 금전적 이득보다는 잠재적으로 전략적인 목표를 시사합니다.
목차
공격 전략: 잊혀지고 패치가 적용되지 않은 대상을 노린다
SSHStalker의 핵심은 구형 Linux 시스템에 대한 의도적인 집중입니다. 이 툴킷에는 16개의 Linux 커널 취약점이 포함되어 있으며, 그중 상당수는 2009년과 2010년으로 거슬러 올라갑니다. 최신의 완전히 패치된 시스템에서는 효과가 미미하지만, 이러한 익스플로잇은 오래되었거나 관리가 소홀한 인프라에서는 여전히 유효합니다.
이번 공격 캠페인에서 악용된 주요 취약점으로는 CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959, CVE-2010-3437 등이 있습니다. 이처럼 오래된 취약점을 활용한 것은 현대적인 보안 감시망을 피해가는 경우가 많은 기존의 보안 환경을 악용하는 실용적인 전략을 보여줍니다.
SSH 자동화를 통한 웜형 확장
SSHStalker는 자동화된 스캔 기능을 통합하여 공격 범위를 넓힙니다. Golang 기반 스캐너는 포트 22를 능동적으로 탐색하여 SSH 서비스를 노출하는 시스템을 식별합니다. 취약한 호스트가 발견되면 해당 호스트는 공격 대상이 되어 IRC 채널에 등록되고, 웜처럼 봇넷을 확장해 나갑니다.
감염 과정에서 IRC로 제어되는 봇 변종과 Perl 기반 파일 봇을 포함한 여러 페이로드가 배포됩니다. 이러한 구성 요소들은 UnrealIRCd 서버에 연결하여 지정된 제어 채널에 참여하고 지시를 기다립니다. 이 인프라는 조직적인 대량 트래픽 공격과 중앙 집중식 봇 관리를 지원합니다.
이러한 기능에도 불구하고, 해당 캠페인은 분산 서비스 거부 공격, 프록시 재킹, 암호화폐 채굴과 같은 일반적인 사후 수익 창출 활동을 삼가고 있습니다. 대신, 침해된 시스템은 대부분 비활성 상태로 유지되며 지속적인 접근 권한을 보유합니다. 이러한 절제된 운영 방침은 스테이징, 접근 권한 유지 또는 향후 공동 작전과 같은 잠재적 활용 사례를 시사합니다.
은밀성, 지속성, 그리고 포렌식 방지
SSHStalker의 가장 큰 특징은 뛰어난 은밀성입니다. 이 멀웨어는 utmp, wtmp, lastlog 기록을 조작하는 로그 정리 유틸리티를 배포하여 무단 SSH 접근을 숨깁니다. 또한, 사용자 지정 C 프로그램을 실행하여 시스템 로그에서 악성 활동의 흔적을 제거함으로써 포렌식 분석을 어렵게 만듭니다.
복원력을 확보하기 위해, 이 툴킷에는 악성코드 프로세스가 종료될 경우 60초 이내에 다시 실행되도록 설계된 유지 메커니즘이 포함되어 있습니다. 이러한 지속성 전략은 손상된 환경 전반에 걸쳐 침투력을 강화합니다.
스테이징 인프라 및 공격 도구 모음
관련 스테이징 인프라에 대한 분석 결과, 광범위한 공격 도구 저장소와 이전에 보고된 악성코드가 발견되었습니다. 해당 툴킷에는 다음이 포함됩니다.
- 은밀성을 강화하고 지속성을 유지하도록 설계된 루트킷
- 암호화폐 채굴자들
- 취약한 웹사이트에서 노출된 아마존 웹 서비스(AWS) 자격 증명을 수집하기 위해 '웹사이트 그래버'라는 바이너리를 실행하는 파이썬 스크립트입니다.
- EnergyMech는 명령 및 제어와 원격 명령 실행을 가능하게 하는 IRC 봇입니다.
이 컬렉션은 다양한 공격 목표에 적응할 수 있는 유연한 운영 프레임워크를 강조합니다.
귀인 단서 및 운영상의 중복
IRC 채널 및 설정 단어 목록에서 발견된 단서들은 루마니아식 별명과 속어의 존재를 포함하여 루마니아 출신일 가능성을 시사합니다. 또한, 운영 방식이 Outlaw(Dota라고도 함)라는 해킹 그룹과 상당 부분 겹치는 점은 이들과 연관이 있거나 유사한 공격 기법을 공유하고 있음을 나타냅니다.
새로운 활용보다는 성숙한 오케스트레이션이 더 중요합니다.
SSHStalker는 제로데이 취약점이나 획기적인 루트킷 개발에 의존하지 않습니다. 오히려 이 캠페인은 체계적인 운영 통제와 효과적인 오케스트레이션을 보여줍니다. 핵심 봇과 하위 수준 구성 요소는 주로 C 언어로 작성되었으며, 셸 스크립트가 지속성 유지 및 자동화를 관리합니다. Python과 Perl은 감염 과정 내의 유틸리티 기능 및 지원 작업에 선택적으로 사용됩니다.
이 캠페인은 인프라 재활용, 자동화, 그리고 다양한 리눅스 환경 전반에 걸친 장기적인 지속성을 강조하는 구조화되고 확장 가능한 대규모 침해 워크플로의 좋은 예입니다. 혁신보다는 실행, 조정, 그리고 간과되기 쉬운 시스템에 대한 전략적 활용이 이 캠페인의 강점입니다.
