급격히 증가하고 있는 새로운 IoT 봇넷

New Rapidly-Growing IoT Botnet Threatens to Take Down the Internet

작년, 대규모 DDoS 공격을 실행해 인터넷 마비를 일으킨 가장 큰 IoT 기반의 악성코드인 Mirai가 등장하였습니다. 그리고 1년 후인 최근, 새로운 IoT 봇넷 악성코드가 급격히 증가하고 있습니다. 

‘IoT_reaper’라 명명 된 이 새로운 악성코드는 지난 9월 30일 처음 발견 되었습니다.

이 악성코드는 IoT 기기의 더 이상 취약한 패스워드를 해킹하는 것에 의존하지 않습니다. 대신, 이는 다양한 IoT 기기의 취약점들을 이용하여 IoT 기기들을 봇넷 네트워크에 종속시킵니다.

IoT_reaper 악성코드는 현재 다음 9개 제조사의 IoT 기기에 존재하는 취약점을 악용하고 있습니다:

- Dlink : https://blogs.securiteam.com/index.php/archives/3364

- Goahead : https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

- JAWS : https://www.pentestpartners.com/blog/pwning-cctv-cameras/

- Netgear : https://blogs.securiteam.com/index.php/archives/3409

- Vacron NVR : https://blogs.securiteam.com/index.php/archives/3445

- Netgear : http://seclists.org/bugtraq/2013/Jun/8

- Linksys : http://www.s3cur1ty.de/m1adv2013-004

- Dlink : http://www.s3cur1ty.de/m1adv2013-003

- AVTECH : https://github.com/Trietptm-on-Security/AVTECH

연구원들은 IoT_reaper 악성코드가 이미 2백만 대의 기기들을 감염시켰으며, 하루 1만대의 새로운 기기들을 감염시켜 놀라운 속도로 증가하고 있다고 밝혔습니다.

Mirai가 대규모 DDoS 공격을 통해 DNS 제공업체인 Dyn을 중단시키는데는 단 10만대의 감염된 기기가 사용 되었기 때문에, 이는 매우 우려스러운 일이라 볼 수 있습니다.

이 외에도 연구원들은 해당 멀웨어가 100 DNS 오픈 resolver를 포함하고 있어 DNS 증폭 공격을 실행할 수도 있다고 밝혔습니다.

연구원들은 “현재 이 봇넷은 초기 확장 단계에 있습니다. 하지만 제작자는 활발히 코드를 수정하고 있기 때문에 경계가 필요합니다.”고 말했습니다.

또한 다른 연구원들도 이미 수 십만대의 기기들을 감염 시킨 “IoTroop” 악성코드에 대해 경고하고있습니다. 이 둘은 동일한 악성코드인 것으로 추정 됩니다.

연구원들은 “범죄자들의 의도를 확실히 파악하기에는 아직 이른 단계이지만, 인터넷을 근본적으로 차단한 과거의 봇넷 DDoS 공격이 다시 실행 될 경우 공격이 시작되기 전 조직들은 적절한 준비와 방어 메커니즘을 갖추는 것이 중요합니다.”고 밝혔습니다.

연구원들에 의하면 IoTroop 악성코드들도 GoAhead, D-Link, TP-Link, AVTECH, Linksys, Synology등에서 제조한 무선 IP 카메라의 취약점들을 악용합니다.

아직까지는 이 봇넷을 만든 사람이 누구인지, 이유가 무엇인지는 알 수 없지만 이 DDoS 위협은 아주 급격히 증가하고 있으며 초당 수십 테라비트 규모에 이를 수 있기 때문에, 사용자들은 스마트 기기 보안에 좀 더 주의를 기울여야 합니다. 

현재 알약에서는 해당 악성코드에 대하여 Trojan.Linux.IotReaper로 탐지중에 있습니다. 

출처 : 

https://thehackernews.com/2017/10/iot-botnet-malware-attack.html