by Wizard

오래된 보안 취약점, ‘Finger’ 명령어의 부활과 원격 코드 실행 위협

오래전에 잊혀진 ‘Finger’ 명령어가 최근 악성 공격에 다시 등장하여 사용자들에게 심각한 위협을 가하고 있습니다. Finger 명령어는 원래 유닉스 시스템에서 사용자 정보를 확인하는 데 사용되었지만, 보안 취약점으로 인해 사용이 중단되었습니다. 하지만 공격자들은 이 오래된 도구를 악용하여 원격 코드를 실행하고 정보를 탈취하는 데 사용하고 있습니다.

Finger 명령어의 재발견: 공격 벡터로의 변신

Finger 명령어는 더 이상 일반적으로 사용되지 않지만, 공격자들은 배치 스크립트를 사용하여 서버 응답을 윈도우 명령 세션으로 직접 전달하는 방식으로 이를 악용합니다. 악성 코드가 포함된 파이썬 프로그램은 무해한 문서로 위장된 압축 파일 형태로 배포됩니다. 사용자가 이러한 파일을 실행하면 Finger 명령어가 실행되어 공격자의 서버로부터 명령을 다운로드하고 실행하게 됩니다.

공격 과정: 복잡한 단계를 거치는 은밀한 침투

최근 발견된 공격 사례에서 공격자는 사용자가 인지하지 못하는 사이에 Finger 주소에 연결하도록 유도했습니다. 이 연결을 통해 서버에서 명령어가 스트리밍되어 명령 처리기 세션에서 실행되었습니다. 실행된 명령어는 임의의 경로를 생성하고, 시스템 도구를 복제하며, 악성 파이썬 프로그램이 포함된 압축 파일을 추출했습니다. 이 파이썬 프로그램은 실행 후 원격 서버에 연결하여 실행 여부를 확인합니다.

정보 탈취 및 원격 액세스 도구 설치

분석 결과, 이러한 공격은 정보 탈취를 목적으로 하는 것으로 밝혀졌습니다. 또 다른 캠페인에서는 유사한 요청 패턴을 사용하여 다른 서버를 공격하고, 동일한 자동화된 작업을 수행했습니다. 이 버전은 리버스 엔지니어링 도구와 모니터링 유틸리티를 검색하고, 발견되면 종료하여 악성 코드 활동을 숨깁니다. 탐지 유틸리티가 발견되지 않으면 원격 액세스 도구를 다운로드하여 무단 제어 세션을 가능하게 합니다. 이 도구는 사용자 로그인 시마다 실행되도록 예약 작업으로 등록됩니다.

사용자 주의사항: 보안 강화의 중요성

이러한 공격은 업데이트된 백신 시스템, 신뢰할 수 있는 악성 코드 제거 방법, 그리고 제대로 구성된 방화벽의 중요성을 강조합니다. 안전한 컴퓨팅 환경을 유지하려면 최신 보안 패치를 적용하고, 의심스러운 링크나 첨부 파일을 클릭하지 않도록 주의해야 합니다. 오래된 프로토콜도 소셜 엔지니어링과 결합되면 실제적인 진입점이 될 수 있다는 점을 명심해야 합니다.