미라이의 새로운 변종, OMG 봇넷 발견

IoT 기기를 프록시 서버로 변환시키는 새로운 미라이 변종이 등장하였으며, OMG 로 명명되었습니다. 

이 변종은 기존의 미라이 코드에 포함되어 있는 일부 구성을 추가 또는 삭제했지만, 공격, 킬러, 스캐너 모듈 등 기존의 미라이 모듈을 그대로 사용하고 있습니다.

연구원들은 ‘OMG 봇넷은 기존의 미라이 악성코드와 동일한 공격 작업을 수행할 수 있다. 예를 들어 열린 포트를 확인하여 텔넷, ssh, http와 관련된 프로세스 및 다른 봇들과 관련된 프로세스를 중단시킬 수 있다. 또는 텔넷 무작위 대입 공격, 디도스 공격 등도 수행할 수 있다’고 설명합니다.

그러나 OMG 봇넷의 주요 목적은 프록시 기능입니다. 

해커들은 해킹 및 다른 악성 작업을 실행할 때 익명으로 수행하기 위해 프록시를 사용합니다. 프록시 서버를 이용해 금전을 탈취하는 방법 중 하나는 다른 해커들에게 OMG가 이용하는 접근 권한을 판매하는 것입니다.

OMG 공격자들은 프록시를 제대로 동작시키기 위하여, 생성된 포트를 통해서도 트래픽을 전송할 수 있는 방화벽 룰을 추가했습니다. 기존의 방화벽 룰을 삭제하고 새로운 내용을 추가하기 위한 명령이 포함된 두 개의 문자열을 구성 테이블에 추가하였습니다. 이 방화벽 룰을 적용하면, 랜덤으로 생성된 HTTP 및 SOCK 포트를 통해 트래픽을 전송하는 것이 가능해집니다. 이를 통해 코드에 포함된 공격자들이 미리 정의한 구성으로 3프록시가 설정됩니다.

OMG 봇넷이 디도스 공격을 수행하고 취약한 IoT 기기에서 프록시 서버를 구성할 수 있는 최초의 미라이 변종이지만, 앞으로 이러한 변종들이 계속해서 나올 것으로 예상됩니다.

연구원들에 따르면, 미라이 봇넷의 소스코드가 공개 된 후 IoT 기기를 위협하는 다수의 미라이 변종과 공격들이 발견되고 있습니다. 이러한 변종들은 기존의 텔넷 무작위 대입 공격 외에도 여러 새로운 공격 기법을 도입하고 공격 범위를 확장함으로써 더욱 진화하였습니다. 

또한 이러한 미라이 변종 공격자들이 금전 탈취를 위해 새로운 공격 기법을 사용한 징후도 다수 발견되었습니다. 미라이는 원래 디도스 공격을 수행하기 위해 제작되었지만, 이후에 등장한 변종들은 암호 화폐 채굴을 위해 취약한 ETH 채굴기를 공격하는 데 사용되었습니다.

현재 알약에서는 해당 악성코드에 대하여 Backdoor.Linux.Mirai로 탐지중에 있습니다. 

출처 :

https://www.infosecurity-magazine.com/news/omg-mirai-variant-creates-proxy/