6월, 윈도우·리눅스 서버 공격 급증

지난 2분기 윈도우 데이터베이스 공격과 리눅스 SSH 서버 공격이 급증한 것으로 나타났다.

안랩이 7일 발표한 '2025년 2분기 윈도우 데이터베이스 공격' ASD로그 통계에 따르면
2025년 1월 154개, 2월 87개, 3월 121개, 4월 199개, 5월 56개, 6월 573개로 집계됐다. 특히 지난 6월 많은 공격이 이뤄진 것이 특징이다.

리눅스 SSH 서버 대상 공격도 늘었다. '2025년 2분기 허니팟 리눅스 SSH 서버 공격'은웜(Worm )악성코드인 P2P인펙트 공격이 50%를 차지했다. 이어 Tsunami가 38.5%를 차지하는 등 두 종류 악성코드가 80% 이상을 점유했다.

부적절하게 관리되고 있는 환경은 무차별 대입 공격이나 사전 공격에 취약한 계정 정보가 설정되어 있는 환경으로, 공격자가 만약 시스템 관리자 계정으로 로그인에 성공했다면 악성코드 또는 시스템 제어를 획득할 수 있다.

부적절하게 관리되고 있는 리눅스 SSH 서버에 대한 공격은 스캐닝부터 시작되며, 대부분의 공격 시도들은 스캐닝 이후 무차별 대입 공격이나 사전 공격을 통해 계정 정보를 획득하거나 이후 기본적인 정보를 수집한다.

웹 서버 공격은 주로 보안 패치가 되지 않은 환경에 대한 취약점 공격, 부적절하게 설정된 환경 공격, 부적절하게 관리되는 서버 공격이 있다.

일반적으로 웹 서버를 공격하는 공격자들은 파일 업로드 취약점을 이용해 웹쉘을 업로드하여 명령을 실행하는 방식이 자주 사용된다. 하지만 이외에도 웹 개발 프레임워크 자체의 취약점 또는 Web Application Server(WAS)의 취약점을 이용하여 웹쉘을 업로드할 수 있다. 물론 파일 업로드 방식 대신 원격 코드 실행 취약점을 이용해 직접 명령을 실행할 수도 있다.

Related Materials

• 2024 1분기 DDoS 위협 보고서 - Cloudflare, 2024년
• 2024 Imperva DDoS 위협 동향 보고서, 2024년
• 2024년 제로데이 위협 돌아보기: 주요 동향 분석 및 향후 전망 - Google Threat Intelligence, 2024년

프록시 설치하는 리눅스 서버 공격

💡Editor Pick - 허술하게 관리되고 있는 리눅스 서버에 프록시 설치해 공격 - 티니 프록시, 싱박스처럼 정상 오픈 소스 도구 악용 특징 최근 허술하게 관리되고 있는 리눅스 서버에 프록시 설치해 공격하는 사례가 포착되고 있다. 이 공격 방식은 티니 프록시(TinyProxy) 같은 정상 도구나 싱박스(Sing-box)처럼 정상 오픈 소스 도구를 악용하는

The Tech EdgeCheifEditor

악성코드 설치하는 MySQL 서버 공격 주의!

💡Editor Pick - MySQL 서버에 대한 Brute force / Dictionary Attack - 공격 후, UDF/GhostRAT/XWorm, HpLoader, Zoho ManageEngine 등의 악성코드 설치 MySQL은 대표적인 데이터베이스 서버다. 기업, 사용자 환경에서 대량 데이터 관리 기능을 제공한다. 그런데 최근 외부에 노출되거나, 관리가 소홀한 MySQL 서버를 노린 공격이 지속적으로 포착되고 있다. 공격자는 스캐닝을 통해

The Tech EdgeCheifEditor

중국어 사용 공격자, 국내 서버 공격

최근 국내 웹 서버를 노린 사이버 공격이 포착됐다. 공격자는 네트워크 장악 시도를 위해 악성코드로 시스템을 감염시켰다. 네크워크가 장악될 경우 민감한 정보 탈취나 랜섬웨어에 감염될 수 있어 이용자들의 철저한 보안 점검이 필요하다. 공격자는 웹쉘 악성코드를 설치하고, 라돈(Ladon) 도구를 악용, 수퍼쉘(SuperShell)과 메쉬에이전트(MeshAgent)를 설치해 감염 시스템을 제어했다. 라돈은

The Tech EdgeCheifEditor