최소 3개의 취약점을 악용하는 Wicked Mirai 봇넷 발견!

최근 Mirai 봇넷의 새로운 변종인 "Wicked Mirai"가 발견되었습니다. 

"Wicked Mirai" 이름은 악성코드에 포함되어 있던 텍스트에서 유래되었으며, 기존의 Mirai 악성코드와 비교한 결과 최소 3개 이상의 새로운 취약점을 사용하고 있는 것이 확인되었습니다. 

Mirai 봇넷은 2016년 처음 발견되었으며, 대규모 DDoS 공격에 사용되었습니다. Mirai 소스코드는 2016년 10월 온라인상에 공개되었으며, 공개된 이후 빠른 속도로 Satori, Masuta, Okiru 등 다양한 변종들이 출현하였습니다. 

"Wicked Mirai"의 제작자는 다른 변종들을 제작한 제작자와 동일 인물인 것으로 추정되고 있습니다. Mirai 봇넷은 3가지 주요 모듈 즉 공격, 삭제 및 스캔 모듈로 이루어져 있습니다. 

최초 Mirai는 강제로 다른 IoT 디바이스들을 망가뜨리려 하였지만, Wicked Mirai는 이미 알고있는 취약점을 사용합니다. Wicked Mirai는 IoT 디바이스의 원본 소켓 SYN을 이용하여 8080,8443,80 및 81번 포트를 스캔합니다. 일단 연결이 되면, 좀비 프로세스는 해당 디바이스를 이용하여 공격코드가 포함되어 있는 소캣을 통하여 공격 페이로드 다운로드를 시도합니다. 

전문가들은 사용하는 취약점은 좀비 프로세스가 어떤 특정 포트와 연결이 되는지에 따라 결정된다고 말했습니다. 

Wicked Mirai가 타겟으로 하는 디바이스들은 다음과 같습니다. 

8080포트 : NETGEAR DGN1000 및 DGN2200 v1라우터

81포트 : CCTV-DVR 원격코드실행

8443포트 : NETGEAR R7000 및 R6400명령 인젝션(CVE-2016-6277)

80포트 : 손상된 Web 서버 중 프로그램 쉘 호출

코드분석결과 String SoraLOADER가 존재함이 확인되었으며, 즉 악성코드가 Sora 봇넷 유포를 시도한다는 것을 나타낸다고 추측하였습니다. 추가적인 조사 결과 연구원들은 이 가설을 반박하였으며, 악성 디바이스들이 실제로 악성 도메인에서 OwariMirai를 내려받는다는 것을 확인하였습니다. 

취약점을 성공적으로 악용한 후, 이 좀비 프로세스들은 악성 페이지에서 유효한 페이로드를 다운로드 받습니다. 이 경우 이 전에 암시하였던 것이 아닌 또 다른 Mirai 변종인 Owari bot이 내려오게 됩니다. 

하지만, 분석할 때 어디서도 Owari bot 샘플을 찾을수가 없었습니다. 또 다른 사건에서 Owari bot들은 아래 이미지에 있는 파일들로 교체되었으며, 해당 샘플들을 분석한 결과 Omni bot이라는 것을 확인할 수 있었습니다. 

해당 홈페이지의 /bins 디렉토리를 분석한 결과 GPON의 CVE-2018-10561 GPON 취약점을 통해 제공된 다른 Omni 샘플들을 발견할 수 있었습니다. 

<이미지 출처 : https://securityaffairs.co/wordpress/72640/malware/wicked-mirai.html>

보안연구원은 Wicked, Sora, Owari 및 Omni 사이의 연결고리를 찾는 과정에서, Owari/Wori IoT 봇넷의 제작자의 인터뷰를 찾을 수 있었습니다. 

제작자는 인터뷰 중에서 Sora와 Owari의 좀비 프로그램을 버리고, 현재는 Omni 프로젝트에 매진하고 있다고 밝혔습니다. 

현재 알약에서는 해당 악성코드에 대하여 Backdoor.Linux.Mirai로 탐지중에 있습니다. 

출처 : 

https://securityaffairs.co/wordpress/72640/malware/wicked-mirai.html