쉘쇼크(ShellShock) 공격을 이용한 Bashlite 악성코드 유포

• TrendMicro社에 따르면 쉘쇼크(ShellShock) 공격을 통해 BusyBox를 이용하는 기기를 대상으로 백도어 악성
  코드인 Bashlite를 감염시키는 유형이 발견됨
• 쉘쇼크 공격은 취약한 버전의 Bash를 사용하는 모든 시스템을 공격할 수 있으며, 공격에 성공할 경우 악성코드
  설치뿐만 아니라 공격자가 원하는 명령을 실행하는 것이 가능함  
   ※ BusyBox : Unix 환경으로 구축된 시스템에서 명령어를 확장하기 위해서 사용하며 라우터, Android Phone
       등에서 자주 사용
   ※ ShellShock : 'Bash Command취약점'으로도 불리며 Unix/Linux환경에서 사용되는 명령 실행프로그램인
       Bash에 존재하는 취약점으로서 서버로 악의적인 명령을 전달하여 수행시키는 방식의 공격

주요내용

• Bashlite 악성코드는 주로 웹서버를 대상으로 Bash의 취약점(CVE-2014-6271)을 이용해 쉘쇼크 공격으로 유포
  - 공격자는 웹 서버에 접속할 때 전송하는 패킷의 헤더를 조작하여 공격 구문을 전송함
   ※ 헤더 : 서버에 접속을 요청할 때 함께 전송되는 접속자의 정보가 담긴 부분

< ShellShock를 통해 웹 서버에 악성코드를 다운로드하는 공격 구문 >

• 악성코드에 감염된 서버는 주변에서 BusyBox를 사용하는 기기들을 검색한 후 무차별 대입공격으로 로그인을
  시도함
  - 로그인에 성공할 경우 공격자의 의도와 목적에 따라 추가 공격이 가능함
  - 디도스(DDoS) 공격 및 C&C서버에서 추가적인 악성코드를 다운로드받아서 실행하는 기능을 수행함
  - 추가 공격을 통해 디도스(DDoS) 공격 및 C&C서버 KAITEN 소스 코드 다운로드하여  2차, 3차 피해를 발생시킴
   ※ KAITEN : DDoS공격 및 파일 다운로드, 원격 명령수행 등의 기능을 하는 Linux기반의 악성코드
• 쉘쇼크 공격의 취약여부 판단은 시스템 상에서 명령어 실행으로 확인 가능함
  - Linux 시스템 내에서 Bash를 실행시킨 후 취약여부를 검사하는 명령어 실행함
  - 아래의 명령어를 통해 확인한 Bash의 버전이 4.3버전 혹은 이전의 버전일 경우 취약한 상태임

< Bash의 버전을 확인하는 명령어 >

          - 아래의 명령어를 실행시킨 결과가 'vulnerable'일 경우 취약한 상태

< Bash의 취약 여부를 검사하는 명령어 >

< Bash 취약점이 존재하는 시스템 >

[출처]
1. http://www.trendmicro.co.kr/kr/about-us/newsroom/releases/articles/20140926114741.html
2. http://omnifeed.com/article/www.pcworld.com/article/2848692/bash-malware-targets-embedded-devices-running-busybox.html
3. http://www.securityweek.com/bashlite-malware-uses-shellshock-hijack-devices-running-busybox