포스팅 내용

국내외 보안동향

Brickerbot 악성코드, 당신의 IoT 기기들 노려

Brickerbot 악성코드, 당신의 IoT 기기들 노려

Forget Mirai – Brickerbot malware will kill your crap IoT devices


최근 Mirai와 유사한 기술을 사용하여 IoT 기기들을 영구적으로 망가뜨려 버리는 새로운 형태의 공격코드가 발견되었습니다. 


지난 3월 20일, 보안 업체 Radware는 새로운 형태의 악성코드를 발견하여 Brickerbot이라 명명하였습니다. 해당 보안업체는 악성코드의 샘플을 수집하기 위해 웹상에 허니팟을 구축했습니다. 그 결과, 4일 동안 단 하나의 허니팟에서 1895번의 Brickbot의 감염 시도가 행해진 것을 확인할 수 있었습니다. 대다수의 공격은 아르헨티나에서 시작되었습니다. 두 번째인 333회의 기록은 Tor노드를 상용하여 추적할 수 없었습니다. 


보안업체는 “Bricker Bot 공격은 Mirai가 사용한 것과 동일한 익스플로잇 벡터인 Telnet 브루트포스를 사용해 피해자의 기기들을 공격했다”며 “Bricker는 바이너리 다운로드를 시도하지 않는다. Radware는 그들이 브루트포싱에 사용한 크리덴셜들의 전체 목록은 가지고 있지 않지만, 처음 시도한 계정/패스워드 쌍은 일관되게 root/vizxv 였다.”고 밝혔습니다.


이 악성코드는 BusyBox 툴킷을 사용하는 리눅스 기반의 IoT 기기들을 타겟으로 하며, 자체 보안 이슈를 갖고 있는 Ubiquiti 네트워크 기기를 특히 더 노리는 것으로 추측됩니다. 일단 OS로의 침입을 성공하면, 이 코드는 rm –rf/*를 사용해 온보드 메모리를 뒤섞어버리고, TCP 타임스탬프를 비활성화한 후 커널 쓰레드의 최대 수를 1로 제한합니다.


이후 Brickerbot은 모든 iptable 방화벽 및 NAT 규칙들을 삭제하고, 나가는 모든 패킷을 드랍하는 룰을 추가합니다. 마지막으로, 영향을 받는 기기의 모든 코드를 삭제해 기기를 쓸모 없게 만들어 버립니다. 즉, 영구적인 DoS(서비스 거부)인 것입니다.


Brickbot의 공격을 차단하기 위해서는 Telnet을 비활성화하고, 기기의 디폴트 비밀번호를 변경해야 합니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.Agent.372736B, Trojan.Neurevt.A, Trojan.Agent.372736B, Backdoor.Brickerbot로 탐지중에 있습니다. 







참고 :

https://www.theregister.co.uk/2017/04/08/brickerbot_malware_kills_iot_devices/

https://security.radware.com/ddos-threats-attacks/brickerbot-pdos-permanent-denial-of-service/



티스토리 방명록 작성
name password homepage