상세 컨텐츠

본문 제목

지속을 위해 6가지 방법을 사용하지만 뚜렷한 목적이 없는, 새로운 Iot 봇넷 Torii 발견

국내외 보안동향

by 알약(Alyac) 2018. 9. 28. 15:49

본문

New Iot Botnet Torii Uses Six Methods for Persistence, Has No Clear Purpose


보안 연구원들이 Mirai 변종보다 우월한 수준의 새로운 IoT 봇넷을 발견했습니다.


이 봇넷의 개발자들은 CPU 아키텍쳐 다수용 바이너리를 제작하여 스텔스 및 지속성을 위해 악성코드를 조정했습니다. C&C 서버와의 통신은 암호화 되었으며, 추출 및 명령 실행 등의 기능을 포함하고 있습니다.


Avast의 연구원들에 따르면, 이 악성코드는 지난 2017년 12월부터 활동해왔으며 MIPS, ARM, x86, x64, PowerPC, SuperH 등의 CPU 아키텍쳐 기기들을 노립니다.


Mirai 기반의 위협들 사이에서 멀티 플랫폼 지원은 흔한 것이지만, 연구원들은 Torii가 지금까지 본 것들 중에 가장 큰 아키텍쳐 세트를 지원하는 봇넷 중 하나라 밝혔습니다.



Tor를 통한 텔넷 공격


유명한 보안 연구원인 Dr. Vesselin Bontchev는 그의 텔넷 허니팟에서 이 악성코드의 샘플을 발견했습니다. 그는 텔넷 통신을 위한 포트 23을 통해 공격 받았음을 발견했지만, 이 통신은 Tor 네트워크를 통해 터널링 되어 있었다고 밝혔습니다.


Torii는 Telnet이 노출 되어 있거나 취약한 계정을 사용하는 시스템을 노립니다. 이는 기기의 아키텍쳐를 알아내는 정교한 스크립트를 실행하고 바이너리 페이로드를 전달하기 위해 'wget,' 'ftpget,' 'ftp,' 'busybox wget,', 'busybox ftpget' 등의 명령어를 사용합니다.


Torii, IoT 기기에 머무르기 위해 감염 시켜


이 스크립트는 다음으로 기기의 아키텍쳐를 위한 1단계 페이로드를 다운로드합니다. 이는 지속성을 가지며, 2단계 페이로드를 위한 드롭퍼일 뿐입니다.


Torii는 VPNFilter와 Hide and Seek에 이어 감염 된 기기에서 지속성을 얻는 세 번째 IoT 봇넷입니다. 즉, Torii는 시스템 재부팅 후에도 살아 남으며, 펌웨어를 디폴트 구성으로 리셋하여 제거할 수 있다는 것입니다.


연구원들은 “이는 파일이 기기에서 유지되고, 항상 실행 되도록 하기 위해 최소 6가지 방법을 사용합니다. 이들 중 하나만 실행하는 것이 아니라, 이들 모두를 실행합니다.” 6가지 방법은 아래와 같습니다.


1) ~\.bashrc에 주입한 코드를 통한 자동 실행

2) Crontab에 “@reboot”를 통한 자동 실행

3) Systemd를 통해 “System Daemon” 서비스로써 자동 실행

4) /etc/init와 PATH를 통한 자동 실행

5) SELinux 정책 관리를 수정해 자동 실행

6) /etc/inittab를 통한 자동 실행



용도는 다양하지만, 뚜렷한 목적이 없는 Torii


C2 서버로의 트래픽은 암호화 되며 TLS 특정 포트 443을 통해 전달 되지만, 이 악성코드는 TLS 프로토콜을 사용하지 않습니다.


악성코드가 호스트네임, 프로세스 ID, mac 주소 및 시스템 관련 정보를 추출해내기 때문에 이러한 방식으로 교환 된 정보는 기기의 정보를 인식하는데 도움을 줍니다.


대부분의 IoT 봇넷의 목적은 DDoS 또는 가상 화폐 채굴이지만, Torii는 아직까지는 이러한 의도를 보이고 있지 않습니다.


하지만 이 봇넷은 감염 기기에서 어떠한 명령어도 실행이 가능하기 때문에, 가능성은 매우 다양합니다. 또한 GOP 언어로 작성 되어 다양한 기기 배열을 위해 재컴파일 될 수 있습니다.


현재 알약에서는 해당 악성코드에 대해 Backdoor.Linux.Torii로 탐지중에 있습니다. 





출처 :


관련글 더보기

댓글 영역