Mirai 봇의 윈도우 버전 발견돼... 사용자 주의 당부

Mirai 봇의 윈도우 버전 발견돼... 사용자 주의 당부

Researchers at Dr Web spotted a Windows version of the Mirai bot

최근 많은 포트를 타겟으로 하는 Mirai 봇의 새로운 윈도우 변종이 발견되었습니다.

Mirai 봇의 윈도우 버전은 공격자가 IoT 기기들을 감염시키고, Mirai 리눅스 악성코드 배포를 통해 DDoS 공격을 실행하는데에 악용되고 있었습니다.

BleepingComputer.com은 “최근 보안 연구원들이 Mirai가 더 많은 장치로 확산되도록 돕기 위해 만들어진 윈도우용 트로이목마를 발견했다.”고 밝혔습니다. Mirai 악성코드는 지난 2016년 8월 MalwareMustDie가 발견했습니다. 이는 IoT 기기들을 감염시키도록 특별히 제작되었습니다.

▶ 참고 : 디도스 공격으로 미국 동부 지역 인터넷 마비시킨 ‘미라이’ 악성 파일, 국내서도 발견!

 

<이미지 출처 : http://securityaffairs.co/wordpress/56103/malware/windows-mirai-bot.html>

Mirai악성코드는 수 천대의 라우터 및 DVR과 CCTV 시스템들을 포함한 IoT 기기들을 감염시켰습니다. Mirai 봇이 기기를 감염시키면, 이는 랜덤으로 IP를 선택하고 관리자 크리덴셜 목록을 사용해 Telnet과 SSH 포트를 통해 로그인을 시도합니다.

보안 연구원들은 이번에 새로 발견된 악성코드를 Trojan.Mirai.1로 명명했습니다.

보안 연구원들은 “이 윈도우용 트로이목마는 C++로 작성되었다. 다양한 명령을 실행하고 또 다른 악성코드를 배포하기 위해 지정된 범위의 IP주소들에서 TCP 포트를 스캔하도록 설계되었다.”라며, “이 트로이목마가 실행되면, C&C 서버에 연결해 설정 파일(wpd.dat)을 다운로드 하고 IP 주소 목록을 추출한다. 이후 스캐너가 실행된다. 이는 주소 목록을 참조해 동시에 여러 개의 포트를 체크한다.”고 설명했습니다.

오리지널 Mirai 리눅스 악성코드와는 다르게, Trojan.Mirai.1은 더 많은 포트를 스캔하는 특징을 갖고 있습니다. 이 트로이목마는 아래의 포트들을 처리할 수 있습니다.

 * 22

 * 23

 * 135

 * 445

 * 1433

 * 3306

 * 3389

Trojan.Mirai.1이 새로운 기기를 감염시키면, 장치가 리눅스 OS를 사용할 경우 새로운 DDoS Mirai 봇을 생성하는 일련의 명령어들을 실행합니다. 윈도우 OS를 사용할 경우에는 자기 자신의 복사본을 드랍합니다.

이는 또한 계정명 Mssqla / 패스워드 Bus3456#qwein의 DBMS 계정을 생성하여 sysadmin 권한을 부여합니다. 이후 SQL 서버 이벤트 서비스의 도움을 받아 다양한 작업을 실행할 수 있습니다.

여기서 유일한 예외는 RDP 프로토콜을 통한 연결입니다. 이 경우 아무런 명령도 실행되지 않습니다. 그 외에 Telnet을 이용해 리눅스 기기에 연결할 때 해킹된 기기에 바이너리 파일을 다운로드합니다. 이 파일은 이후 Linux.Mirai를 다운로드 하고 실행합니다.

현재 알약은 해당 악성코드에 대하여 Trojan.Agent.Mirai로 탐지하고 있습니다.

출처 : 

http://securityaffairs.co/wordpress/56103/malware/windows-mirai-bot.html

http://news.drweb.com/show/?i=11140&lng=en