40만 대의 리눅스 서버가 에부리 봇넷에 감염되었으며 사례가 증가하고 있습니다

봇넷은 사이버 보안 공격을 수행하는 악의적인 공격자에게 유용합니다.

에부리는 2009년부터 리눅스 서버를 괴롭혀 온 봇넷 악성코드입니다.

15년이 지난 지금도 여전히 존재하며, 진화하고 새로운 전술을 사용하고 있습니다.

ESET 연구원들은 악성코드가 서버를 감염시키는 방법과 그 확산을 방지하기 위한 조치를 설명하는 새로운 보고서를 발표했습니다.

에부리 봇넷 악성코드란 무엇이며 그 영향은 무엇인가?

에부리 봇넷 악성코드는 감염된 서버에서 자격 증명을 훔칩니다. 이는 순전히 금전적 이익을 위해 설계되었으며, 민감한 데이터는 다크 웹에서 판매되거나 피해를 입은 서버 관리자에게 협박하는 데 사용될 수 있습니다.

15년 동안 에부리는 40만 대 이상의 리눅스 서버에 성공적으로 침투했습니다. 이는 적지 않은 숫자이지만, ESET에 따르면 단 25%만이 감염되었습니다.

즉, 거의 10만 대의 서버가 여전히 감염되어 있으며 에부리의 존재를 인식하지 못하고 있습니다.

“범죄자들은 자신들이 침투한 시스템을 추적하고 있으며, 우리는 그 데이터를 사용하여 매달 봇넷에 추가된 새로운 서버 수의 타임라인을 그렸습니다.”라고 ESET은 말했습니다.

봇넷 악성코드의 제작자가 2017년에 체포된 이후에도 계속 확산되었습니다. ESET은 정기적으로 허니팟을 배치하여 에부리를 유인하고 자신들을 감염시키며 악성코드를 연구합니다.

하지만 시간이 지나면서 허니팟은 에부리의 감염에 반응하는 데 무능력해졌습니다. 한 사건에서는 악성코드가 “안녕하세요 ESET 허니팟” 메시지를 대담하게 보냈습니다.

악성코드는 허니팟을 식별하는 데 점점 더 능숙해져 연구자들에게 더 어려운 상황을 만들고 있습니다.

에부리는 호스팅 제공업체를 타겟으로 하는 것을 좋아합니다. 왜냐하면 이들이 여러 서버에 대한 접근을 열어주기 때문입니다. 하나의 서버를 공격하기보다는 여러 서버를 포착하고 염탐하는 것이 그들에게 매력적입니다.

ESET은 가상 서버를 임대했고, 에부리는 일주일도 채 되지 않아 이를 감염시켰습니다.

해커들은 또한 트래픽을 가로채고 사용자를 자격 증명을 캡처하는 서버로 리디렉션하는 것을 좋아합니다.

암호화폐 노드는 지갑 자격 증명에 접근할 수 있기 때문에 주요 목표입니다. 그런 다음 돈을 이체합니다.

악성코드는 흔적을 숨기는 데 매우 능숙합니다. 관리자의 눈을 피하기 위해 새로운 난독화 기술을 사용합니다.

네덜란드 국가 고급 기술 범죄 부서(NHTCU)와 ESET은 암호화폐 도난 피해자의 서버에서 악성코드를 발견한 후 협력했습니다.

악성코드에 대해 더 알아보려면 공식 연구 논문을 확인하세요. GitHub에서 사용할 수 있는 에부리 탐지 스크립트도 시도해 볼 수 있습니다.