[2018.12.11] ESET 보안 전문가, 12개의 새로운 OpenSSH 백도어 발견 분석 보고서 발표

요약

- ESET는 현재까지 밝혀진 적이 없는 12개의 백도어 포함 총 21개의 악성 OpenSSH 백도어 발견 

- OpenSSH 백도어 버전 개발이 다소 쉬움

- 백도어 사용시 공격자가 탐지 되지 않음과 동시에  OpenSSH 데몬과 클라이언트는 비밀번호를 평문으로 볼 수 있어 비밀번호 등 

  크리덴셜 도용 가능

- 유사한 악성 샘플들은 기존 OpenSSH 소스코드를 변경하거나 리컴파일링하여 구현 방법에서 많은 유사점을 찾을 수 있음.

º 사용자 입력 패스워드를 훔쳐 로컬 파일에 저장

º 일부는 패스워드를 이메일을 통해 외부로 전송.

º root로그인을 제한하는 Trojan OpenSSH 데몬 함수를 이용해 시스템에 활동 기록을 삭제

- 4대 주요 백도어

º Chandrila:  SSH 패스워드를 통해 명령을 받을 수 있음

º Bonadan: 가상화폐 마이닝

º Kessel: 봇 기능 (includes bot functionality). 

º Kamino:  대규모 악성코드 공격을 제한적인 공격으로 전환 할 수 있음

영향성

악성코드 샘플만을 분석한 것으로 백도어가 시스템에 어떻게 설치가 되었는지 등의 상황적 정보가 존재하지 않아 백도어 감염 정보가 미흡함.

참고자료

출처 : https://www.securityweek.com/researchers-find-dozen-undocumented-openssh-backdoors

보고서원문 : https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf