Cybereason์ ๋ณด์ ์ฐ๊ตฌ์ ๊ฒฝ๊ณ ํ ๋ฉ์ผ ์๋ฒ ๊ด๋ฆฌ์์๊ฒ ์
์ฉํ๋ ๋๊ท๋ชจ ์๋ ๊ณต๊ฒฉ ์๋ณ์ ๋ํด ์ค๋ช
ํฉ๋๋ค. ์ฌ๊ฐํ ์ทจ์ฝ์ ์ง๋ ์ฃผ์ ๋ฐ๊ฒฌ๋ Exim์ (CVE-2019-10149)์
๋๋ค. ๊ณต๊ฒฉ ์ค์ ๊ณต๊ฒฉ์๋ ๋ฃจํธ ๊ถํ์ผ๋ก ์ฝ๋๋ฅผ ์คํํ๊ณ ์ํธํํ ์ฑ๊ตด์ ์ํด ์๋ฒ์ ์
์ฑ ์ฝ๋๋ฅผ ์ค์นํฉ๋๋ค.
XNUMX์์ ๋ฐ๋ฅด๋ฉด ์๋ ์ค๋ฌธ์กฐ์ฌ Exim์ ์ ์ ์จ์ 57.05%(56.56๋
์ 34.52%), Postfix๋ 33.79%(4.05%)์ ๋ฉ์ผ ์๋ฒ์์ ์ฌ์ฉ๋๋ฉฐ Sendmail์ 4.59%(0.57%), Microsoft Exchange๋ 0.85%(XNUMX%)์
๋๋ค. ์ ์ํด ์ ๋ฐ๋ฅด๋ฉด Shodan ์๋น์ค๋ Exim 3.6์ ์ต์ ๋ฆด๋ฆฌ์ค๋ก ์
๋ฐ์ดํธ๋์ง ์์ ๊ธ๋ก๋ฒ ๋คํธ์ํฌ์ 4.92๋ง ๊ฐ ์ด์์ ๋ฉ์ผ ์๋ฒ์ ์ ์ฌ์ ์ผ๋ก ์ทจ์ฝํ ์ํ๋ก ๋จ์ ์์ต๋๋ค. ์ ์ฌ์ ์ผ๋ก ์ทจ์ฝํ ์๋ฒ๋ ๋ฏธ๊ตญ์ ์ฝ 2๋ง ๋, ๋ฌ์์์ 192๋ง XNUMX์ฒ ๋์ ๋ฌํฉ๋๋ค. ์ ์ํด ์ ๋ณด RiskIQ ํ์ฌ๋ ์ด๋ฏธ Exim์ด ์ค์น๋ ์๋ฒ์ 4.92%๋ฅผ ๋ฒ์ 70๋ก ์ ํํ์ต๋๋ค.
๊ด๋ฆฌ์๋ค์ ์ง๋์ฃผ ๋ฐฐํฌ ํคํธ๋ก ์ค๋นํ ์
๋ฐ์ดํธ๋ฅผ ๊ธด๊ธํ๊ฒ ์ค์นํ๋ ๊ฒ์ด ์ข์ต๋๋ค(๋ฐ๋น์, Ubuntu, ์คํ ์์ธ, ์์น ๋ฆฌ๋
์ค, ํ๋๋ผ, RHEL/CentOS์ฉ EPEL). ์์คํ
์ ์ทจ์ฝํ Exim ๋ฒ์ (4.87~4.91 ํฌํจ)์ด ์๋ ๊ฒฝ์ฐ crontab์์ ์์ฌ์ค๋ฌ์ด ํธ์ถ์ ํ์ธํ๊ณ /root/์ ์ถ๊ฐ ํค๊ฐ ์๋์ง ํ์ธํ์ฌ ์์คํ
์ด ์ด๋ฏธ ์์๋์ง ์์๋์ง ํ์ธํด์ผ ํฉ๋๋ค. SSH ๋๋ ํ ๋ฆฌ. ์
์ฑ ์ฝ๋๋ฅผ ๋ค์ด๋ก๋ํ๋ ๋ฐ ์ฌ์ฉ๋๋ ํธ์คํธ an7kmd2wp4xo7hpr.tor2web.su, an7kmd2wp4xo7hpr.tor2web.io ๋ฐ an7kmd2wp4xo7hpr.onion.sh์ ํ๋์ด ๋ฐฉํ๋ฒฝ ๋ก๊ทธ์ ์กด์ฌํจ์ผ๋ก์จ ๊ณต๊ฒฉ์ด ๋ํ๋ ์๋ ์์ต๋๋ค.
Exim ์๋ฒ๋ฅผ ๊ณต๊ฒฉํ๋ ค๋ ์ฒซ ๋ฒ์งธ ์๋ ๋
น์ 9์ 13์ผ. XNUMX์ XNUMX์ผ ๊ณต๊ฒฉ๊น์ง ํ๋ค ๊ฑฐ๋ํ ์ฑ๊ฒฉ. tor2web ๊ฒ์ดํธ์จ์ด๋ฅผ ํตํด ์ทจ์ฝ์ ์ ์
์ฉํ ํ Tor ์จ๊ฒจ์ง ์๋น์ค(an7kmd2wp4xo7hpr)์์ OpenSSH์ ์กด์ฌ๋ฅผ ํ์ธํ๋ ์คํฌ๋ฆฝํธ๊ฐ ๋ค์ด๋ก๋๋ฉ๋๋ค(๊ทธ๋ ์ง ์์ ๊ฒฝ์ฐ). ์ธํธ), ์ค์ ์ ๋ณ๊ฒฝํฉ๋๋ค(ํ์ฉ ๋ฃจํธ ๋ก๊ทธ์ธ ๋ฐ ํค ์ธ์ฆ) ์ฌ์ฉ์๋ฅผ ๋ฃจํธ๋ก ์ค์ ํฉ๋๋ค. RSA ํค, SSH๋ฅผ ํตํด ์์คํ
์ ๋ํ ๊ถํ ์๋ ์ก์ธ์ค๋ฅผ ์ ๊ณตํฉ๋๋ค.
๋ฐฑ๋์ด๋ฅผ ์ค์ ํ ํ ๋ค๋ฅธ ์ทจ์ฝํ ์๋ฒ๋ฅผ ์๋ณํ๊ธฐ ์ํด ์์คํ
์ ํฌํธ ์ค์บ๋๊ฐ ์ค์น๋ฉ๋๋ค. ์์คํ
์ ๋ํ ๊ธฐ์กด ๋ง์ด๋ ์์คํ
์ ๊ฒ์ํ๋ฉฐ, ์๋ณ๋๋ฉด ์ญ์ ๋ฉ๋๋ค. ๋ง์ง๋ง ๋จ๊ณ์์๋ ์์ ์ ์ฑ๊ตด๊ธฐ๊ฐ ๋ค์ด๋ก๋๋์ด crontab์ ๋ฑ๋ก๋ฉ๋๋ค. ๊ด๋ถ๋ Glibc 2.7+๊ฐ ์ค์น๋ Linux์ฉ ELF ํ์์ ์คํ ํ์ผ์ด ํฌํจ๋ ico ํ์ผ(์ค์ ๋ก๋ ๋น๋ฐ๋ฒํธ๊ฐ "no-password"์ธ zip ์์นด์ด๋ธ)๋ก ์์ฅํ์ฌ ๋ค์ด๋ก๋๋ฉ๋๋ค.
์ถ์ฒ : opennet.ru