Mirai OKIRU - 최초로 ARC CPU의 Linux를 타겟으로 하는 악성코드 발견!

2016년 8월, IoT 디바이스를 타겟으로 공격을 진행하는 Mirai 악성코드가 처음으로 발견되었습니다. 

그리고 2018년 1월, 처음으로 ARC CPU를 공격타겟으로 하는 Linux 악성코드가 발견되었습니다. 이 새로운 Linux ELF 악성코드는 MIRAI OKIRU로 명명되었습니다. 

<이미지 출처 : http://securityaffairs.co/wordpress/67742/malware/mirai-okiru-botnet.html>

Linux IoT에 대한 위협은 빠르게 진화하고 있으며, 이제는 ARC CPU를 기반으로 하는 IoT를 타겟으로 하고 있습니다. 

매년 약 10억대의 ARC CPU의 IoT 기기들이 생산되고 있기 때문에, 이러한 디바이스들이 해커의 타겟이 된다는건 매우 위험한 것입니다.  만약 이 IoT 기기들이 악성코드에 감염되어 거대한 봇넷을 형성한다면, 해커들은 다양한 목적으로 이 봇넷을 사용할 수 있게되기 때문입니다. 

Mirai Okiru 변종은 매우 위험합니다. 이 악성코드는 최초의 ARC CPU를 타겟으로 하는 악성코드이며, 만약 지금 이 악성코드를 차단하지 않는다면 이후에 변종이 발생하여 더욱 혼란을 가중할 수도 있습니다. 

Mirai Satori와 Okiru는 완전히 다릅니다. 

- 설정상의 차이: Okiru변종의 설정은 크게 두 부분으로 나누어 암호화를 진행하며 여기에는 원격 로그인 비밀번호 암호화도 포함되어 있습니다. Satori는 두 부분으로 나누지 않으며, 기본설정 암호도 암호화 하지 않습니다. 이 밖에도 Okiru는 telnet 공격의 로그인 정보가 길지만(최대 114개 계정), Satori는 각기 다르고 짧은 DB를 갖고 있습니다.

- Satori에는 일반적인 DRDoS 공격 기능인 "TSource Engine Query"가 포함되어 있지만, Okiru에는 해당 기능이 없습니다.

- Okiru와 Saori에 설정되어 있는 감염 후속조치 명령이 약간 다릅니다. 이를 통해 두 악성코드가 동일한 환경을 갖고 있지 않다는 것을 알 수 있습니다.

- Okiru에는 최소 4종류의 라우터 취약점을 이용하는 코드가 하드코딩 되어있지만, Satori는 이 취약점들을 이용하지 않습니다.

- Satori는 작은 임베디드 ELF 악성코드 다운로더를 이용하여 Okiru와 다른 아키텍처에 바이너리를 다운로드 합니다.

Mirai Okiru ELF malware (botnet client) 는 ARC Core CPU 기반으로 컴파일되었습니다. 10억대가 넘는 IoT로 이루어진 Mirai Okiru 봇넷의 위협이 현실이 된것입니다. 

현재 알약에서는 해당 악성코드에 대해 Backdoor.Linux.Mirai로 탐지중에 있습니다. 

출처 :

http://securityaffairs.co/wordpress/67742/malware/mirai-okiru-botnet.html