Breaking
사이버 보안(Cybersecurity)
미라이 봇넷의 새로운 변종 발견, 11건의 익스플로잇 공격 발생
2019-05-28 17:52:14
장희주
▲미라이 봇넷의 새로운 변종은 IoT 장치를 대상으로 한다(사진=ⓒ게티이미지)  

[라이헨바흐=장희주 기자] 미라이 사물인터넷(Mirai Internet of Things, IoT) 봇넷 멀웨어가 등장했다. 이 변종 봇넷은 IoT 장치를 대상으로 한다.

사이버 보안 회사인 팰로앨토 네트웍스(Palo Alto Networks)의 위협 연구팀 유닛 42는 최근 소비자 장치를 감염시킬 목적으로 설계된 미라이 봇넷 맬웨어의 새로운 변종을 발견했다. 새로운 미라이 봇넷 변종에는 아직 별명이 붙지 않았다. 이 봇넷 변종은 무차별 공격을 실행하기 위한 새로운 자격 증명 등을 내장하고 있다.

그러나 이전 버전과 달리 새로운 미라이 봇넷 변종은 높은 대역폭을 지닌 기업의 IoT 장치를 대상으로 한다. 이 봇넷 변종은 대상 장치에 디도스(DDoS) 공격을 시행할 수 있다.

치명적인 공격에 대한 새로운 기능

유닛 42는 몇 개월 전에 새로운 미라이 변종(리눅스 공통 봇넷 악성 코드)을 발견했으며, 이 봇넷 변종이 위프레젠트 와이피지 1000(WePresent WiPG-1000) 와이어리스 프레젠테이션 시스템과 LG전자의 슈퍼사인 TV 등을 노리고 있다고 전했다. 두 제품 모두 비즈니스 용도로만 사용되는 것이다.

봇넷이 호스팅 제공 업체에서 비즈니스 장치로 공격 대상을 전환한 것은 봇넷의 개발자들이 이제 기업을 대상으로 직접적인 공격을 펼칠 수 있다는 뜻이다. 엔터프라이즈 시스템을 대상으로 한 마지막 봇넷 멀웨어 공격은 아파치 스트럿츠(Apache Struts)의 취약점을 노린 공격과 소닉월(Sonicwall)의 글로벌 매니지먼트 시스템을 노린 공격이었다.

게다가 새로운 미라이 봇넷 변종은 다중 익스플로잇 배터리 및 디도스 공격에 사용될 새로운 자격 증명 집합을 제공한다. 이 새로운 기능 집합을 사용하면 미라이 봇넷 멀웨어 공격 대상의 규모가 커진다. 결국 봇넷 변종은 대역폭이 큰 IoT 장치에 액세스해 위력적인 디도스 공격을 일으킬 권한을 갖게 된다.

유짓 42 연구진은 블로그 게시물에서 기업이 IoT 장치를 철저하게 조사해 이런 위협에 대처하는 것이 얼마나 중요한지 강조했다. 기업은 장치의 기본 암호를 변경하고 업데이트 및 패치를 정기적으로 모니터링해야 한다. 또 패치할 수 없는 경우 장치를 네트워크에서 장치를 제거하는 편이 좋다. 물론 이것은 최후의 수단으로 고려해야 하는 것이다.

새로운 익스플로잇 활용

새로운 미라이 봇넷 변종에 존재하는 익스플로잇은 다른 미라이 봇넷이나 그와 유사한 봇넷에서 흔히 볼 수 있는 익스플로잇인데, 유닛 42 연구진은 모든 익스플로잇 27가지 중 11가지가 새로운 것이라고 보고했다.

연구진은 새로운 미라이 봇넷 변종에 존재하는 익스플로잇을 두 가지 범주로 구분했다. 첫 번째는 과거의 공격에서 연구원에 의해 관찰되지 않은 익스플로잇이었고 두 번째는 최근에 사용됐으며 다른 봇넷 멀웨어 변종에도 통합된 것이었다.

첫 번째 범주의 취약성 및 영향을 받는 장치는 다음과 같다. CVE-2018-17173은 LG 슈퍼사인 TV에 영향을 준다. 위프레젠트 와이피지 1000 명령 주입은 위프레젠트 와이피지 1000 무선 프레젠테이션 시스템에 영향을 미친다. 디링크(DLink) DCS-930L 원격 명령 실행은 디링크 DCS-930L 네트워크 비디오 카메라에 영향을 미친다. 디링크 디아그노스틱.php 명령 실행은 디링크 DIR-645 및 DIR-815 라우터에 영향을 미친다. 

Zyxel P660HN 원격 명령 실행은 Zyxel P660HN-T 라우터에 영향을 미친다. CVE-2016-1555는 넷기어(Netgear) WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660 및 WNDAP620 장치에 영향을 미친다. CVE-2017-6077과 CVE-2017-6334는 넷기어 DGN2200 N300 무선 ADSL2 + 모뎀 라우터에 영향을 미친다. 넷기어 프로세이프 원격 명령 실행은 넷기어 프로세이프 WC9500, WC7600, WC7520 무선 컨트롤러에 영향을 미친다.

한편 유닛 42 연구진이 정한 두 번째 범주의 취약성 및 영향을 받는 장치는 다음과 같다. 넷기어 레디NAS 원격 명령 실행/CVE-2018-15716은 넷기어 레디NAS 감시 1.4.3-16과 NUUO NVR 미니 장치에 영향을 미친다. 링크시스(Linksys) WAP54Gv3 원격 디버그 루트 셸은 링크시스 WAP54G에 영향을 미친다. CVE-2013-3568은 링크시스 WRT100, WRT110 소비자 라우터에 영향을 미친다. ZTE 원격 명령 실행은 ZTE ZXV10 H108L 라우터에 영향을 미친다. 링크시스 어플라이.cgi 원격 명령 실행은 링크시스 E1500/E2500 라우터에 영향을 미친다.

그 외의 익스플로잇은 CVE-2017-6884, GPON 익스플로잇, AVTechRCE, JAWS RCE, DLinkOSInjection, DLinkcommandphpRCE, DLinkDSL2750BOSCmdInjection, VacronNVRRCE 등이다.

익스플로잇으로 수집된 셸 스크립트 페이로드가 유닛 42에 의해 발견됐으며 새로운 미라이 봇넷 변종의 악성 페이로드가 현재 유효한 것으로 관찰됐다.

유닛 42의 연구진은 "셸 스크립트에 의해 다운로드된 바이너리는 'clean.[arch]'(예 : cleanan.x86, clean.mips 등) 형식으로 명명됐지만 더 이상 웹사이트에서 호스팅되지 않는 것으로 보인다. 페이로드 소스에서 피봇팅한 것이 185[.]248.140.102/bins/에 호스팅된 동일한 페이로드 샘플을 보였다. 이것과 동일한 IP는 이름 형식 'eeppinen'을 사용해 일부 Gafgyt 샘플을 호스팅했다. 새로운 멀티 익스플로잇 변종으로 업그레이드 되기 며칠 전이다"라고 설명했다.

▲유닛 42 연구진은 미라이 봇넷 변종의 새로운 11가지 익스플로잇을 보고했다(사진=ⓒ게티이미지)  
 

[라이헨바흐=장희주 기자]