암호화폐 수익을 노린 해커가 지난달(2월) 채굴 악성코드로 보안이 취약한 아파치 솔라(Solr) 서버 1천400대를 감염시킨 것으로 드러났다.
미국 지디넷은 지난 9일 공격자가 원격코드실행 취약점을 악용해 아파치 솔라 서버 1천400대를 감염시켰다고 보도했다. 솔라는 웹사이트 안에 검색 기능을 구축하기 위한 아파치 프로그램으로 널리 사용된다. [☞원문보기]
보안업체 모퍼스랩스의 레나토 마리뇨 최고연구책임자(CRO)에 따르면 공격자는 CVE-2017-12629번으로 등재된 아파치 솔라 서버의 원격코드실행 취약점을 악용했다. 아파치소프트웨어재단은 해당 취약점을 막는 패치를 지난해 10월 배포했다.
마리뇨 CRO는 솔라 서버 취약점을 악용한 공격자 그룹이 앞서 오라클 웹로직 서버에 '모네로' 채굴 악성코드를 설치했던 조직과 동일 집단이라 추정했다. 지난 1월 오라클 웹로직 서버 700여대가 취약점을 악용한 모네로 채굴 악성코드에 감염돼 22만6천달러 상당의 암호화폐 채굴에 동원된 사례가 있었다. 당시 악용된 취약점도 지난해 10월 패치가 배포된 것이었다. [☞관련기사]
마리뇨 CRO는 미국 정보보호 및 교육전문기관 SANS의 침해사고분석팀 '인터넷스톰센터(ISC)'가 운영하는 온라인포럼에서 "대다수 오라클 웹로직 서버는 (취약점을) 수정했고, 악당들은 표적을 바꾸게 됐다"며 "지난 2월 28일부터 3월 8일까지 9일간 세계각지 아파치 솔라 서버 1천416대의 취약점을 악용해 모네로 채굴 악성코드 'XMRig'를 설치한 단일 공격이 진행됐다"고 설명했다.
공격자가 감염당한 솔라 서버에 설치한 모네로 채굴 악성코드는 공동채굴서비스(mining pools)에 프록시를 사용해 접속했다. 프록시는 채굴 참여자의 암호화폐 지갑 주소를 숨겨 준다. 이때문에 공격자가 악성코드에 감염된 솔라 서버를 통해 얼마나 수익을 냈는지는 드러나지 않았다. 다만 웹로직 서버 대비 2배 규모의 솔라 서버가 동원됐다는 점을 고려해 단순 계산하면, 수익도 2배쯤 된다고 추정할 수 있다.
서버는 일반적으로 PC보다 연산 능력이 뛰어난 중앙처리장치(CPU)를 탑재하고 있기 때문에 암호화폐 채굴 프로그램을 통해 얻을 수 잇는 수익도 상대적으로 크다. 해커가 암호화폐 채굴 악성코드 유포시 PC보다 서버 공격을 선호할 수 있는 이유다.
관련기사
- "암호화폐 채굴로 GPU 품귀, 과학연구 저해"2018.03.12
- "24시간만에 5천대 감염"…안드로이드폰 채굴 악성코드 확산2018.03.12
- KISA "비트코인 가치 올라 채굴형 악성코드 확산"2018.03.12
- SK인포섹 "지난해 암호화폐 채굴 악성코드 기승"2018.03.12
공격자는 인터넷을 검색해 솔라 서버를 찾았고 지난해 10월 대외 공개된 취약점 악용 기법을 사용했다. 표적 컴퓨터 시스템에 침입한 뒤 공격자는 채굴 악성코드 XMRig 를 설치하는 배시(bash) 스크립트를 불러냈고 이 채굴 작업이 중단되지 않고 계속 동작하도록 작업을 설정했다. 관리자들은 이 공격에 감염당해 8080번 포트에서 'pool-proxy.com' 주소를 통해 공동채굴서비스에 접속한 서버시스템에서 'fs-manager'라 불리는 프로세스가 실행중인 것을 볼 수 있다.
마리뇨 CRO는 IBM 인포스피어 11.5, 레드햇 제이보스 데이터그리드 7.0.0 및 7.1.0 버전, 제이보스 엔터프라이즈 애플리케이션 플랫폼(EAP) 6, 7, 7.0.8 버전, 제이보스 엔터프라이즈 포털 플랫폼 6 버전도 유사한 공격에 당할 수 있다고 경고했다. 이들 모두 시스템을 악용할 수 있는 취약점 정보가 공개된 라이브러리에 등재된 상태기 때문이다.