Kant's IT/Issue on IT&Security

Outlaw 그룹의 SSH 브루트포스 기반 Linux 크립토재킹 악성코드 분석 보고서

Kant Jo 2025. 5. 12. 18:30

Outlaw Group Uses SSH Brute-Force to Deploy Cryptojacking Malware on Linux Servers

 

New Outlaw Linux Malware Using SSH brute-forcing To Maintain Botnet Activities for long Time

 

New Outlaw Linux Malware Using SSH brute-forcing To Maintain Botnet Activities for long Time

A persistent Linux malware known as "Outlaw" has been identified leveraging unsophisticated yet effective techniques.

gbhackers.com

 

  • 위협 개요
    • Outlaw는 SSH 브루트포싱, 크립토재킹, 워밍(worm-like) 방식의 전파 기법을 결합한 리눅스 악성코드로 구성된 자동 확산형 봇넷
    • 주요 활동으로는 암호화폐 채굴(XMRig), 백도어 설치(SHELLBOT), C2 서버 통신, 자체 전파 등이 있으며, 루마니아 기반 해커 그룹으로 추정됨
    • 2018년부터 활동이 관찰되었으며, 최근 2025년 3월 이후 브라질 및 글로벌 대상 공격 재개됨
  • 감염 및 전파 방식
    • 1단계: SSH 브루트포싱을 통해 약한 자격 증명 보유 시스템에 최초 침투 (BLITZ 모듈 활용)
    • 2단계: tddwrt7s.sh 드로퍼 스크립트를 통해 dota3.tar.gz 아카이브 다운로드 및 실행
    • 3단계: 공격자 SSH 키를 authorized_keys 파일에 삽입하여 재접속 및 영속성 확보
    • 4단계: cron 작업 등록, 취약 드라이버 활용, 과거 설치된 타 마이너 및 경쟁 마이너 제거
    • 5단계: 로컬 서브넷 내 다른 SSH 서버 대상으로 자동 브루트포싱 전파 수행 (웜 특성 보유)
  • 주요 악성 구성요소
    • XMRig 마이너: CPU 성능 극대화를 위해 hugepages 활성화 및 커널 파라미터 조정
    • SHELLBOT: IRC 기반 백도어, 명령 실행, 추가 페이로드 전송, DDoS, 계정 탈취, 정보 유출 기능 포함
    • kswap01 / kswapd0: C2와 지속적 연결 유지 및 마이닝 프로세스 제어
    • BLITZ: C2 서버로부터 타겟 목록을 받아 SSH 브루트포싱 및 자동 감염 진행
    • Perl 스크립트: 백그라운드 실행, 종료 신호 무시, rsync 위장 등의 기능 포함
  • 악성코드 행위 특성 및 탐지 회피 기법
    • 감염 시스템 내 존재하는 경쟁 마이너 종료 및 과거 감염 흔적 제거
    • 40% 이상 CPU 사용 중인 프로세스 종료 후 자체 마이너 실행
    • rsync 프로세스로 위장하여 프로세스 감시 회피
    • 간헐적 수동 명령 실행 확인됨(타이핑 오류 및 수작업 지시 포함), 인간 운영 개입 정황 존재
  • 영향 및 피해 분포
    • 감염 대상: 미국, 독일, 이탈리아, 태국, 싱가포르, 대만, 캐나다, 브라질 등
    • 주요 피해 환경: 리눅스 서버, IoT 장비, 구형 유닉스 기반 시스템
    • CVE-2016-8655, CVE-2016-5195(Dirty COW) 등의 취약점 악용 이력 존재
  • 보안 권고
    • SSH 설정 강화
      • root 접속 차단, 비밀번호 인증 비활성화, 공개키 기반 인증 강제
      • 비인가된 SSH 키 파일 삽입 여부 모니터링
    • 보안 정책 및 시스템 설정
      • cron 작업 목록 및 이력 주기적 점검
      • CPU 이상 사용 및 XMRig 실행 탐지 기반 SIEM 룰 설정
      • hugepages 활성화 탐지 및 kswap 프로세스 이상 탐지 정책 수립
    • 위협 인텔리전스 통합
      • IRC 기반 C2 통신 탐지 룰 적용
      • 블랙리스트 등록된 도메인 및 파일 해시 기반 위협 연동
  • 결론
    • Outlaw는 고도화된 기법 없이도 SSH 취약점을 기반으로 지속적인 감염 확산 및 운영이 가능한 대표적인 저복잡도 고지속성 리눅스 악성코드
    • 공격자가 사용하는 기술은 단순하지만 전파 속도, 영속성, 자원 점유율 최적화 측면에서 높은 효과를 보임
    • SSH 서버의 기본 설정 강화 및 EDR/SIEM을 활용한 이상 행위 기반 탐지체계 수립이 필수적임
저작자표시 비영리 변경금지 (새창열림)

'Kant's IT > Issue on IT&Security' 카테고리의 다른 글

콜 스택 위조, GitHub C2, .NET Reactor 기반 최신 악성코드 로더 동향 분석  (0) 2025.05.12
SSL 설정 오류가 공격 표면에 미치는 영향 및 대응 방안  (0) 2025.05.12
QR 코드 기반 피싱(Quishing) 공격을 통한 마이크로소프트 계정 탈취 위협 분석  (0) 2025.05.12
서비스 제공자를 위한 NIST 준수 달성 단계별 가이드  (0) 2025.05.12
오픈소스 랜섬웨어 빌더 ‘Prince Ransomware’ 위협 분석 보고서  (0) 2025.05.12

'Kant's IT/Issue on IT&Security'의 다른글

  • 현재글Outlaw 그룹의 SSH 브루트포스 기반 Linux 크립토재킹 악성코드 분석 보고서

관련글

티스토리툴바