보안

리눅스 악성코드 ‘판찬’ 등장 “아시아 지역과 교육 업계 피해 증가”

Lucian Constantin | CSO 2022.06.16
SSH 무차별 대입 공격으로 리눅스 서버를 감염시키는 새로운 악성코드 ‘판찬(Panchan)’이 등장했다. 아카마이 연구원에 따르면 판찬은 고 언어로 작성됐으며 지난 3월 말 처음 발견됐다. 현재까지 다양한 국가의 서버를 마비시키고 있는데, 그중에서도 아시아 지역과 교육 업계의 피해가 가장 큰 상황이다. 
 
Panchan flow
ⓒ Akamai

아카마이는 “패스워드가 허술하게 설정된 곳이나 훔친 SSH 키를 활용해 내부망을 이동하는 식의 공격에 취약한 곳에서 피해를 입고 있다”라며 “대학은 일반 회사보다 서로 협업할 기회가 많은데, 특정 기기의 접근권한을 주기 위해 정보를 넘겨주는 과정에서 문제가 발생했 수 있다”라고 설명했다. 

실제로 아카마이가 피해 상황을 조사한 결과, 피해 학교는 같은 지역에 소속돼 있는 경우가 많았다. 스페인에 있는 대학이 서로 감염되거나, 대만이나 홍콩 등 같은 언어권 내 학교가 피해를 입는 식이다.

판찬은 악성코드 중에서도 웜에 해당해서 스스로 복제해 다른 컴퓨터로 자동으로 옮겨가는 특징이 있다. 공격 방식은 SSH 원격 액세스 서비스에 무차별 대입 공격을 시작해 사용자 이름 및 암호 조합을 추측하거나, 감염된 시스템에서 인증된 SSH 키를 찾아 탈취하는 식으로 진행된다.

아카마이는 “판찬은 홈 디렉토리를 통해 SSH 정보와 키를 찾는다. ~HOME/.ssh/id_rsaand 주소에 있는 프라이빗 키를 찾고 ~HOME/.ssh/known_host 주소 아래에 있는 IP 주소를 통해 침투한다. 다른 악성코드에서는 시도하지 않았던 새로운 계정 탈취 방식이다”라고 밝혔다. 

판찬은 새로운 기기에 접근한 이후 루트 디렉토리 아래 새로운 폴더를 생성한다. 폴더명은 임의로 정해지며 xinetd라는 이름의 악성 파일을 해당 폴더 안에 복제해둔다. 이후 연결된 다른 컴퓨터에서 악성코드가 실행되며, 감염된 기기들은 서로 통신하며 필요한 지시를 내리거나 설정을 바꾼다. 통신 채널은 TCP 포트 1919로, 악성코드는 iptables 명령어를 활용해 방화벽 안에서 해당 포트를 연다. 

판찬의 핵심 특징은 감염된 기기 안에 명령어 패널이 존재한다는 점이다. 일반적으로 악성파일에 명령을 내리고 조정하는 패널은 별도의 서버에 보관하는 일반적인 악성코드 방식과는 반대다. 아카마이 조사에 따르면 "godmode" 명령어를 악성코드에 전달하고, 프리이빗 키를 받으면 판찬 패널에 원격으로 접근할 수 있다. 

해당 패널은 화면 상태를 새로고침하거나 감염된 다른 기기 정보를 보여주는 것, 채굴 관련 설정을 업데이트하는 기능을 제공한다. 패널은 일본어로 제공되고 있는데, 이를 통해 판찬을 개발한 인물이 일본어권 해커일거라고 아카마이는 추측했다.

판찬은 암호화폐 채굴을 위해 만든 것으로 보인다. 판찬에 감염된 기기에선 memfd_createmrig라는 함수가 xmrig와 nbhash라는 채굴 프로그램을 설치한다. xmrig와 nbhash는 이미 잘 알려진 암호화폐 채굴 프로그램으로, 대부분 보안 프로그램에서 잘 감지한다. 판찬은 이런 조건을 반영해서인지 디스크가 아닌 메모리에 파일을 설치 및 실행하는 방식을 취하고 있다.

또한 판찬에는 서버 모니터링 기술을 찾는 모듈 안티태스크 매니저(Antitask Manager)가 포함됐다. 보통 리눅스에선 CPU나 메모리 사용량을 모니터링하기 위해 htop이나 top같은 툴을 설치하는데, 안티태스크 매니저는 미리 htop과 top의 설치 여부를 파악하고, 이를 발견하면 채굴 과정을 종료시킨다. 리눅스 내 강제 종료 명령어인 SIGTERM나 SIGINT를 무시하는 기술도 들어가 있어 채굴 프로그램을 강제 종료하지 못하게 한 것도 특징이다. 아카마이는 비슷한 강제 종료 명령어인 SIGKILL은 정상적으로 작동한다고 설명했다. 

아카마이는 야라(Yara)나 스노트(Snort) 룰을 활용해 판찬 감염 여부를 확인할 수 있는 자료를 깃허브에 공개했다. 또한 판찬에 대비하기 위해 ▲강력한 SSH 비밀번호를 설정 ▲멀티 팩터 인증 솔루션 이용 ▲네트워크 분할 ▲신뢰할 수 있는 호스트에만 SSH 연결 허용 ▲VM 모니터링을 통해 비정상적인 리소스 활동 감시 등의 방법을 추천했다.
editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.