아카마이는 공격자들이 리눅스 시스템을 악의적으로 이용하여 디도스(DDoS) 공격을 감행하려 하고 있으며, 주요 표적 대상으로는 엔터테인먼트 산업이 될 것이라고 예상했다.

리눅스 상에서 디도스 봇넷(DDoS Botnet)으로 인한 아이피테이블 대규모 감염은 아파치 스트럿츠, 톰캣 및 엘라스틱서치 내 취약점을 이용해 발생하는 것으로 파악됐다. 공격자들은 일반적으로 패치 업데이트 등 상대적으로 관리가 허술한 서버들 상의 리눅스 운영체제가 가진 취약점들을 이용하여 시스템에 접근하고 원격으로 조종하여 시스템에 악성코드를 유포해 왔다. 따라서 감염이 된 시스템들은 디도스 봇넷의 일부로서 원격 통제가 가능하다.

일단 시스템이 감염되면 페이로드(payload) 스크립트명이 부트 디렉터리(/boot directory)에서 .IptabLes 혹은 .IptabLex로 나타난다. 이 스크립트 파일들은 재부팅 시에 .IptabLes 바이너리를 실행한다.

또한 이 악성코드는 자체업데이트가 되어 감염된 시스템이 호스트에 접속하여 파일을 다운로드 할 수 있게 한다. 자체 실험 결과 감염된 시스템이 아시아 지역의 두 개의 서로 다른 IP주소로 접속하려 시도하는 것이 확인됐다.

IptabLes와 IptabLex의 명령 및 제어 센터는 현재 아시아에 위치해 있다. 비록 아시아에서 시작된 것으로 알려졌지만, 이 감염 시스템은 현재 미국을 비롯한 여러 지역의 서버에서 발생하고 있다. 과거 디도스봇 감염이 주로 러시아에서 시작되었던 것과 달리 현재는 대부분의 디도스 공격이 아시아에서 발생하고 있다.

리눅스 시스템 상에서 발생하는 IptabLes와 IptabLex 감염을 발견하고 방지하기 위해서는 리눅스 서버와 안티바이러스 진단 프로그램을 패치 받고 강화해야 한다.

아카마이의 프로렉식 보안 엔지니어링 및 리서치 팀은 보안 경고 전문을 통해 감염된 시스템을 치료하기 위한 배쉬 명령어를 제공한다. 프로렉식은 레이트 리미팅 기술을 제공해 디도스 공격에 대응하기 위한 능력을 강화했다. 또한 야라 방식(Yara rule: 악성코드 위협을 확인하고 정리하기 위해 고안된 오픈소스 툴)을 공유하여 ELF IptabLes 페이로드를 확인할 수 있도록 한다.

스튜어트 스콜리(Stuart Scholly) 아카마이 수석 부사장 겸 보안 부문 제너럴 매니저는 “IptabLes와 IptabLex 악성코드에 의한 리눅스 시스템 감염은 2014년 디도스 캠페인에서 관측된 디도스 공격 중 가장 주목할 만한 공격”이라며, “리눅스 운영 체제는 디도스 봇넷이 주로 공격하던 대상이 아니었기 때문에 더욱 그러하다. 공격자들은 패치가 잘 이루어지지 않다고 알려져 있는 리눅스 시스템을 악의적으로 이용하여 디도스 공격을 감행하려 한다. 따라서 리눅스 관리자들은 이번 보안 위협에 대해 잘 알고 이에 대비해야 한다”고 말했다.

아카마이의 프로렉식 엔지니어링 및 리서치 팀은 악성코드가 확산되어 추가적인 감염이 일어날 것으로 예상하고 있다.