새로운 Hakai 봇넷, D-Link, huawei 및 realtek 라우터를 타겟으로 해

올해 6월 새로운 봇넷인 Hikai가 발견되었습니다. Hakai는 Qbot（Gafgyt、Bashlite、Lizkebab、Torlus혹은 LizardStresser라고도 부름）을 기반으로 하고 있으며, 2009년에 이미 웜의 형태로 발견되었고 그 소스가 공개된 악성코드입니다. 

Hakai 봇넷의 첫번째 버전은 복잡하지 않고 별다른 활동도 하지 않았습니다. 이 개발자는 초기에 보안연구원인 Anubhav의 인기를 이용하여 hakai를 홍보하여 사용자들의 주목을 끌려고 했습니다. Anubhav가 말하길 "악성코드 개발자는 심지어 내 사진을 Hakai C&C 서버인 hakaiboatnet[.]pw 메인페이지로 해놓기도 했다"고 밝혔습니다.

.pw는 파키스탄 국가의 최상위 도메인으로, .com, .net 등과 동일한 속성을 갖고 있다. 하지만 Hakai 봇넷은 이 나라에 오래 머무르지 않았다. 약 1개월 후, 봇넷은 사용자들의 디바이스를 하이재킹하기 시작하였습니다. 7월 21일 보안연구원은 Hakai가 화웨이 라우터 HG352의 원격코드실행 취약점인 CVE-2017-17215를 이용해 공격하는 것을 처음 발견하였습니다. 

그 후 Hakai는 점차 더 활발히 활동하기 시작하였으며 8월 중순, 더 많은 디바이스들과 취약점을 악용하여 봇넷을 만들고 있는 것이 발견되었습니다. 

보안연구원 Jouini Ahmed는 한 포스팅에서 CVE-2017-17215 취약점의 영향을 받는 Hwawei라우터 이외에 HNAP 프로토콜을 지원하는 D-Link 라우터 및 비교적 오래되었고 공격하기 쉬운 Realtek SDK 버전의 Realtek 라우터와 IoT 디바이스들을 타겟으로 하고있다고 밝혔습니다. 

또한 새로운 버전의 Hakai는 D-Link DIR-645라우터 UPNP 버퍼오버플로우 취약점과 D-Link DSL-2750B 디바이스중의 원격 코드인젝션 취약점을 이용한다고 밝혔습니다. 

이런 취약점 이외에도 봇넷에는 고효율의 Telnet 스캔 프로세스가 포함되어 있어, 취약한 비밀번호를 사용하고 있는 시스템들을 검색합니다. 이러한 시스템들의 경우 어떠한 취약점들도 필요하지 않기 때문에 손쉽게 탈취할 수 있습니다. 

Tempest Security가 이번달 초 활발히 활동중인 Hakai 봇넷 변종에 대해 포스팅을 하였습니다. 이 변종은 취약점을 이용하여 라틴아메리카, 특히 브라질의 D-Link DSL-2750B를 탈취하려 시도한다고 밝혔습니다. 

이밖에도 Intezer Labs에 의하면,Hakai의 소스코드는 이미 다른사람 손에 넘어간 것으로 보인다고 밝혔습니다. 이러한 루머를 뒷받침하듯 이미 두종류의 Hakai변종, Kenjiro와 Izuku가 유포되고 있습니다. 

흥미롭게도 Hakai 봇넷은 유명해지자 마자 개발자는 돌연 활동을 감소시켰으며, 보안연구원들과의 관계를 끊고 C&C서버를 이전시켰습니다. 

이러한 급작스러운 태도의 변화는 최근 체포된 Satori IoT 봇넷 운영자인 Nexue Zeta와 관련이 있을 것으로 추정되고 있습니다. 

Nexus Zeta 개발자도 Hakai 개발자처럼 온라인에서 봇넷의 능력을 과장하여 보안연구원들의 관심을 샀습니다. 이러한 어리석은 방법은 결국 자신의 흔적을 남겼고 사법당국의 추적을 받아 검거되었습니다. 

현재 알약에서는 해당 봇넷에 대해 Backdoor.Linux.Mirai로 탐지중에 있습니다. 

참고 : 

https://www.zdnet.com/article/new-hakai-iot-botnet-takes-aim-at-d-link-huawei-and-realtek-routers/