DDoS Attacks에 사용되는 BillGates Malware에 대한 SIRT팀의 공지

Document created by Hyundo Kim Employee on Apr 5, 2016
Version 1Show Document
  • View in full screen mode

Akamai’s Security Intelligence Research Team (SIRT) continues to see the BillGates trojan/bot family of malware being used to infect systems and launch significant DDoS attacks.

Attackers who control the malware -- first disclosed on a Russian IT website in February 2014 -- can gain full control of infected systems. The full advisory can be downloaded from our new threat advisory page located here .

To access the advisory as well as other white papers, threat bulletins and attack reports, please visit our Security Research and Intelligence section on Akamai Communit

 

아카마이 보안지능연구팀(SIRT)는 시스템을 감염시킬 뿐만 아니라 대량의 DDoS공격을 유발시키는 BillGates trojan/bot유형의 Malware들에 대해 조사중입니다.

2014년 2월에 러시아 웹사이트에서 처음 발견된 Malware를 운영하는 공격자들은 감염된 시스템의 전체권한을 획득할 수 있습니다.

보다 자세한 내용은 Akamai의 새로운 Treat advisory에서 확인하실 수 있으며, 다른 white paper, threat에 관한 게시물이나 attack report등은 아카마이 커뮤니티내의 Securiry Research and Intelligence 부분에서 참고해주시기 바랍니다.

 

 

추가정보 :

Billgates trojan/bot의 알려진 동작방식은 아래와 같습니다.

1. 1분마다 한번씩 - Trojan/bot의 활동에 빙해가 될만한 요소인 iptables,nfsd4, profild.key, nfsd, DDo`sl, lengchao32, b26, codelove, node24와 같은 프로세스를 강제종료합니다.

2. 대략 9분마다 한번씩 - kysapd, atdd, skysapd, xfsdx, ksapd 프로세스를 강제 종료합니다.

3. 2시간마다 한번씩 - /etc/ 디렉토리내의 모든 파일을 삭제 후, 해당 위치에 http://www.dgnfd564sdf.com:8080/[module_name]에서 새로운 파일을 다운로드 받습니다.

4. 90분마다 한번씩 - 모든 module들을 재시작 합니다

5. 매분마다 - 모든 시스템 로그와 bash history를 삭제하고 #3에서 받은 module에 실행권한을 부여합니다.

 

 

관련 링크

https://www.akamai.com/us/en/our-thinking/threat-advisories/index.jsp

https://community.akamai.com/community/security-research-and-intelligence

https://securelist.com/analysis/publications/64361/versatile-ddos-trojan-for-linux/

Attachments

    Outcomes