아카마이는 엔터테인먼트 산업을 타깃으로 하는 대규모 디도스를 포착했다고 11일 밝혔다.
아카마이 프로렉식 보안 엔지니어링 및 리서치 팀을 통해 발표한 이 공격은 리눅스 시스템의 아이피테이블(lptabLes)과 아이피테이블렉스(lptabLex) 감염으로 시작되며, 아파치 스트럿츠(Apache Struts), 톰캣(Tomcat), 엘라스틱서치(Elasticsearch) 내 취약점을 이용해 발생하는 것으로 보인다.
상대적으로 관리 허술한 리눅스 시스템 이용
공격자들은 일반적으로 패치업데이트 등 상대적으로 관리가 허술한 서버들 상의 리눅스 운영체제가 가진 취약점들을 이용해 시스템에 접근하고 원격으로 조종, 시스템에 악성코드를 유포해 왔다. 따라서 감염이 된 시스템들은 디도스 봇넷의 일부로서 원격 통제가 가능하다.
일단 시스템에 감염이 되면 페이로드 스크립트명이 부트디렉토리(/boot directory)에서 .IptabLes 혹은 .IptabLex로 나타난다. 이 스크립트 파일들은 재부팅시에 .IptabLes 바이너리를 실행한다. 또한 이 악성코드는 자체업데이트가 되어 감염된 시스템이 호스트에 접속하여 파일을 다운로드 할 수 있게 한다. 자체 실험 결과 감염된 시스템이 아시아 지역의 두 개의 서로 다른 IP주소로 접속하려 시도하는 것을 확인 할 수 있었다.
C&C는 현재 아아에 위치한 것으로 파악되고 있으며, 미국을 비롯한 여러 지역의 서버에서 발생하고 있다. 과거 디도스봇 감염이 주로 러시아에서 시작되었던 것과 달리 현재는 대부분의 디도스 공격이 아시아에서 발생하고 있다.
리눅스 시스템 상에서 발생하는 IptabLes와 IptabLex 감염을 발견하고 방지하기 위해서는 리눅스 서버와 안티바이러스 진단(antivirus detection) 프로그램을 패치받고 강화해야 한다. 프로렉식 보안 엔지니어링 및 리서치 팀은 보안 경고 전문을 통해 감염된 시스템을 치료하기 위한 배쉬 명령어(Bash command)를 제공한다.
스튜어트 스콜리 아카마이 수석 부사장 겸 보안 부문 제너럴 매니저는 “이번 공격은 2014년 디도스 캠페인에서 관측된 디도스 공격 중 가장 주목할 만한 공격이다”며 “리눅스 운영 체제는 디도스 봇넷이 주로 공격하던 대상이 아니었기 때문에 더욱 그러하다. 공격자들은 패치가 잘 이루어지지 않다고 알려져 있는 리눅스 시스템을 악의적으로 이용하여 디도스 공격을 감행하려 한다. 따라서 리눅스 관리자들은 이번 보안 위협에 대해 잘 알고 이에 대비해야 한다”고 말했다.
