Security

프록시 설치하는 리눅스 서버 공격

CheifEditor

Published: 14:12, 01 Jul 2025 (Updated: 12:04, 25 Aug 2025)

[이미지: AI Generated by TheTechEdge]

💡

Editor Pick
- 허술하게 관리되고 있는 리눅스 서버에 프록시 설치해 공격
- 티니 프록시, 싱박스처럼 정상 오픈 소스 도구 악용 특징

최근 허술하게 관리되고 있는 리눅스 서버에 프록시 설치해 공격하는 사례가 포착되고 있다. 이 공격 방식은 티니 프록시(TinyProxy) 같은 정상 도구나 싱박스(Sing-box)처럼 정상 오픈 소스 도구를 악용하는 게 특징이다. 공격자는 감염 시스템을 프록시로 활용해 또 다른 공격에서 자신을 은폐하거나 해당 프록시 노드에 대한 접근 권한을 판매해 범죄 수익을 올릴 수 있다.

티니 프록시(TinyProxy) 설정 및 지속성 유지 루틴 [이미지: 안랩]

티니 프록시 설치 악용: 공격자는 허니팟 리눅스 서버에 로그인을 시도했다. 성공 후에는 악성코드를 다운로드해 실행한다. 악성코드는 명령어를 이용해 티니 프록시를 설치한다. 이후 설정 파일을 조작해 외부서 접속 가능하도록 지속성을 유지 시킨다. 공격자는 티니 프록시가 서비스하는 포트에 접근해 감염 시스템을 프록시로 악용한다.

싱박스 프록시 악용: 싱박스는 다목적 프록시 설치 도구로, 깃허브에 따르면 챗GPT와 넷플릭스 차단을 해제할 수 있다. 공격자는 이러한 서비스를 사용할 수 없어 차단 우회 목적으로 싱박스를 제작한 것으로 보인다. 공격자는 타인 시스템에 무단으로 접속해 싱박스 프록시를 설치했다. 이는 공격자 자신이 불법적으로 사용하거나 금전적 수익 목적으로 보인다.

안랩은 "계정 비밀번호를 추측하기 어려운 형태로 사용하고, 주기적으로 변경해 무차별 대입 공격과 사전 공격으로부터 리눅스 서버를 보호해야 한다"며 "최신 버전으로 패치해 취약점 공격을 방지할 것"을 당부했다. 또한 외부 공개된 접근 가능한 서버에 방화벽과 같은 보안 제품을 적용해 공격자로부터 접근을 통제하고, 백신을 최신 버전으로 업데이트할 것을 덧붙였다.