포스팅 내용

국내외 보안동향

해킹 된 MikroTik 라우터 수 천개, 트래픽을 공격자에게 보내

Thousands of Compromised MikroTik Routers Send Traffic to Attackers


MikroTik 라우터들을 해킹한 공격자들이 기기가 네트워크 트래픽을 그들이 제어하는 IP주소 다수로 포워딩하도록 설정한 것으로 나타났습니다.


사이버 범죄자들이 지난 4월 패치 된 취약점인 CVE-2018-14847를 악용해 기기에 접근했습니다.


이 버그는 Winbox 관리 컴포넌트에 존재하며, 원격 공격자가 인증을 우회하고 임의의 파일을 읽을 수 있도록 허용합니다. 


지난 7월 중순, 보안 연구원들은 그들의 허니팟 시스템이 MikroTik 라우터를 겨냥한 악성 활동을 포착했다고 밝혔습니다.


연구원들의 관찰을 통해, 20만대 이상의 기기에 영향을 미친 최근 크립토재킹 캠페인과 해킹 된 기기에서 트래픽을 수집하기 위한 작업이 밝혀졌습니다.


공격자들, 트래픽 수집해


360Netlab은 금일 블로그를 통해 전세계 7,500개 이상의 MikroTik 라우터들이 TZSP(TaZmen Sniffer Protocol) 트래픽을 외부 IP주소 9개에 전달하고 있다고 발표했습니다.


연구원들에 따르면, 공격자들은 해당 위치로 데이터를 포워딩하기 위해 기기의 패킷 스니핑 설정을 수정한 것으로 나타났습니다.


"공격자들 중 가장 왕성한 활동을 하는 곳은 37.1.207.114입니다. 상당수의 기기들이 그들의 트래픽을 여기로 보내고 있습니다.”


분석 결과에 따르면, 공격자들은 포트 20, 21, 25, 110, 144에 특히 관심을 보이고 있으며, 이는 FTP 데이터, FTP, SMTP, POP3, IMAP 트래픽에 사용 됩니다. 특이한 것은 SNMP(Simple Network Management Protocol) 포트 161, 162로부터 오는 트래픽이며, 목적은 아직까지 밝혀낼 수 없었습니다.


해킹 된 기기들 중 가장 많은 기기들은 러시아에 존재했으며(1,628), 이란(637), 브라질(615), 인도(594), 우크라이나(544)에도 존재했습니다.


실패한 마이닝 작전


Qihoo의 분석에 따르면, 현재 온라인에 노출 되어 있는 MikroTik 기기들 중 31%가 CVE-2018-14847에 취약한 것으로 나타났습니다. 이는 최종 사용자 370,000명에 해당 되며, 대부분이 브라질과 러시아에 위치하고 있습니다.


현재 공격은 이들을 브라우저기반 Coinhive 크립토마이닝 스크립트를 통해 감염시키려 하고 있습니다. 사이버 범죄자들은 HTTP 프록시 세팅을 그들이 만든 마이닝 스크립트가 포함 된 에러페이지로 리디렉트하는 방식으로 공격을 실행합니다.


그러나, 공격자는 실수로 마이닝 작업을 위한 것들을 포함하여 모든 외부 웹 리소스를 차단하는 프록시 접근 제어 리스트를 설정했습니다.



악성 Sock4 프록시 설정


많은 해킹 된 MikroTik 라우터들에 악성 Socks4 프록시가 설정 되어 있었습니다. 이는 95.154.216.128/25 IP 주소 블록에서의 접근을 허용합니다.


지속성을 유지하기 위해, 공격자는 기기에서 특정 URL에 연결해 현재 IP 주소를 보고하는 작업을 예약했습니다.

“이 시점에서, 모든 239,0000개 IP는 95.154.216.128/25, 주로 95.154.216.167로부터의 접근만을 허용하고 있습니다. 공격자가 이 많은 Sock4 프록시로 무엇을 하고 싶어 하는지는 알 수 없지만, 현재로써는 상당한 무언가로 추측 됩니다.”


연구원들은 MikroTik 사용자들에게 최신 펌웨어 버전을 설치하기를 권고했습니다. Qihoo에서 제공한 정보에 따르면 사용자들은 HTTP 프록시, Socks4 프록시, 네트워크 트래픽 캡쳐 기능이 활성화 되어 있는지 확인해 공격자에게 악용 당하고 있는지 확인할 수 있습니다.






출처 :

https://www.bleepingcomputer.com/news/security/thousands-of-compromised-mikrotik-routers-send-traffic-to-attackers/

http://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours-en/



티스토리 방명록 작성
name password homepage