operation Windigo 공격으로 세계 2만 5천대 유닉스 서버 악성코드 감염

개 요 해외 보안업체 ESET社는 보고서를 통해 지난 2년간 ‘Operation Windigo’ 공격으로 전 세계 2만 5천대의  유닉스 서버가 악성코드에 감염되었다고 밝힘 ESET社는 독일 침해사고대응팀(CERT-Bund), 스웨덴 컴퓨팅 국가인프라스트럭처(SNIC),  유럽원자핵공동연구소(CERN) 등과 공동 연구 후 ‘Operation Windigo’ 보고서 발간(‘14.3.18) 주요내용 ‘Operation Windigo’공격은 유닉스 및 리눅스 서버를 해킹하여 SSH 계정 탈취, 웹 사용자를 악의적인 웹페이지로 연결, 스팸메일 발송 등의 악성 행위로 구성됨 악성코드명 악성 행위 Linux/Ebury 관리자 계정탈취용 OpenSSH 백도어 Linux/Cdorked 악성 웹페이지 리다이렉트용 HTTP 백도어 Perl/Calfbot 스팸발송용 펄 스크립트 <‘Operation Windigo’공격에 사용된 악성코드> <Windigo의 계정 탈취 시나리오> 악성코드에 감염된 서버로 인해 일 평균 50만명의 웹 사용자가 악성사이트로 연결되었으며,  3천 5백만건의 스팸메일이 발송됨 리눅스 Foundation인 kernel.org 및 유명 웹 호스팅 관련 업체인 cPanel도 공격당했으며, 미국, 독일 등 전 세계 110개국 2만 5천대의 서버가 악성코드에 감염됨 <악성코드(Linux/Ebury)에 감염된 서버의 지역 분포도> 악성코드(Linux/Ebury)의 감염여부는 아래 명령어 실행으로 확인 가능 ESET社는 감염된 시스템에 기존 OS 및 소프트웨어를 삭제 후 재설치할 것을 권고 [출처] 1. http://www.scmagazineuk.com/windigo-malware-infects-25000-unix-servers/article/338739/ 2. http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf 작성 : 침해사고분석단 코드분석팀