해커를 해킹하다 – IoT 봇넷 제작자, ZTE 라우터 백도어 최상층에 본인의 백도어 삽입 해

Hacking the hackers – IOT botnet author adds his own backdoor on top of a ZTE router backdoor

해킹 초보들이 ZTE 라우터를 해킹하는데 제조사의 백도어 계정을 사용하는 IoT 익스플로잇 스크립트를 사용하고 있는 것으로 나타났습니다. 하지만, 이 백도어는 해당 스크립트의 유일한 백도어가 아니었습니다. 이 코드를 배포하는 Scarface는 이 스크립트를 사용할 해킹 초보들을 해킹하는데 사용할 또 다른 커스텀 백도어를 추가했습니다.

IoT 봇넷계에서 유명한 Paras, Nexus, Wicked는 현재 활성화 되지 않은 상태이며, Scarface/Faraday라는 이름들이 해킹 초보들에게 IoT 봇넷 코드를 무기화 된 익스플로잇과 함께 판매하고 있습니다.

Scarface는 꽤 신용도가 높은 것으로 보입니다. 하지만 그는 ZTE ZXV10 H108L 라우터의 알려진 취약점을 무기화해 실행과 동시에 해킹 초보들의 시스템을 해킹하는 백도어와 함께 공개했습니다.

이 취약점은 로그인 시 ZTE 라우터의 백도어 계정을 이용하며 manager_dev_ping_t.gch 명령어를 주입합니다. Scarface의 코드는 다른 포트인 8083의 장치들을 노립니다. 하지만 차이점은 이것만이 아닙니다.

<이미지 출처 : https://securityaffairs.co/wordpress/77951/malware/iot-botnet-backdoored.html>

유출 된 코드에는 백도어 사용을 위한 login_payload 및 명령어 주입을 위한 command_payload가 있었습니다. 하지만, 또 다른 변수인 auth_payload도 발견되었습니다. 이는 base64로 암호화 된 Scarface의 백도어를 포함하고 있었습니다.

이 백도어 코드는 실제 취약점을 사용하는 작업 3단계(제조사의 백도어 사용, 명령어 주입 및 로그아웃)과는 별개로 exec을 통해 은밀히 실행 됩니다. 아래의 이미지에서 이를 확인하실 수 있습니다.

<이미지 출처 : https://securityaffairs.co/wordpress/77951/malware/iot-botnet-backdoored.html>

디코딩 이후 백도어 코드는 또 다른 웹사이트로 연결합니다. 이 웹사이트에는 Paste(.)ee URL로 연결하고 아래의 추가 코드를 실행하는 코드가 포함 되어 있습니다.

<이미지 출처 : https://securityaffairs.co/wordpress/77951/malware/iot-botnet-backdoored.html>

또한 백도어 사용자 크리덴셜 세트가 추가 되었으며, 그 후 로그 및 히스토리를 삭제해 흔적을 제거하는 작업을 발견했습니다. 또 다른 URL은 wget을 통해 유머 비디오를 호스팅하는 곳으로 연결 됩니다. 이는 Scarface가 사용자의 기기를 해킹했다는 표시일 것으로 추측 됩니다.

IoT 봇넷 운영자에게 백도어를 설치하는 목적은 여러가지일 수 있습니다. 예를 들어, Scarface가 해킹 초보의 시스템을 제어함으로써 그들이 구축한 더 작은 봇넷도 함께 제어할 수 있게 되거나, 개인적인 원한을 갖고 경쟁 IoT 봇넷 운영자의 시스템에 접근할 수도 있습니다.

출처 : 

https://securityaffairs.co/wordpress/77951/malware/iot-botnet-backdoored.html