상세 컨텐츠

본문 제목

Mirai, Gafgyt IoT 봇넷, 기업 부문 노려

국내외 보안동향

by 알약(Alyac) 2018. 9. 12. 15:21

본문

Mirai, Gafgyt IoT Botnets Reach To the Enterprise Sector


가장 잘 알려진 IoT 봇넷인 Mirai와 Gafgyt의 새로운 변종이 분산형 공격을 위한 DoS 리소스를 추가/보충하기 위해 기업 부문을 노리고 있는 것으로 나타났습니다.


양쪽 악성코드들 모두 몇 년 전 공개 되어 사이버 범죄자들이 그들만의 버전을 만들기 시작했습니다.


이 최신 변종은 비즈니스용 기기를 노리는 것으로 확인되었습니다. 


Palo Alto Networks Unit 42에서 공개한 보고서에서는 새로운 Mirai와 Gafgyt가 오래 된 취약점을 악용하는 코드를 추가했다고 밝혔습니다.


Mirai는 패치 되지 않은 Apache Struts를 사용하는 시스템을 노리기 시작했습니다. 이 버전은 지난해 Equifax 유출사건 때 공격 당한 버전입니다. 


CVE-2017-5638는 수정 된지 1년 이상 지났지만, 취약점이 완전히 패치 되지 않을 경우 공격이 먹히는 기기가 존재할 것이기 때문에, 사이버 범죄자들은 이를 악용할 것입니다.


Mirai 악성코드가 사용하는 익스플로잇의 수는 이제 16개입니다. 대부분 라우터, NVR, 카메라, DVR 등 인터넷에 연결 된 기기들을 노립니다.


Baslite로도 알려진 Gafgyt도 비즈니스용 장비를 노리고 있습니다. 이는 SonicWall의 지원 되지 않는 버전의 GMS기기에 존재하는 얼마 전 공개 된 취약점 (CVE-2018-9866)을 사용합니다.


Unit42는 지난 8월 5일, 이 취약점의 Metasploit 모듈이 공개된 지 채 일주일이 지나지 않은 시점에 새로운 샘플을 발견했습니다.


Gafgyt에 감염 된 기기들은 해킹할 다른 장비들을 스캔해 적절한 익스플로잇을 전달할 수 있습니다. 또한 이 악성코드에는 Blacknurse 공격을 실행할 수 있는 명령어도 포함 되어 있습니다. Blacknurse는 CPU 로드에 영향을 미쳐 DoS 컨디션을 유발하는 낮은 대역폭 ICMP 공격입니다.



새로운 두 변종의 배후에 있는 동일한 개발자


연구원들은 이 두 변종이 동일한 도메인에서 호스팅 되고 있는 것을 발견했습니다. 이로써 Mirai와 Gafgyt의 배후에 동일한 개발자가 있는 것으로 추측할 수 있습니다.


지난 8월, 해당 도메인은 다른 IP주소에 있었으며 간헐적으로 SonicWall 버그를 악용하는 Gafgyt의 샘플을 호스팅했었습니다.


Palo Alto는 “IoT/Linux 봇넷들이 Apache Struts와 SonicWall을 타겟으로하는 익스플로잇을 포함하는 것으로 보아, 공격자들이 개인용 기기에서 기업용 기기로 타겟을 이동시킨다는 것을 알 수 있습니다.”고 밝혔습니다.


현재 알약에서는 해당 악성코드들에 대해 Backdoor.Linux.Gafgyt로 탐지중에 있습니다. 




출처

https://www.bleepingcomputer.com/news/security/mirai-gafgyt-iot-botnets-reach-to-the-enterprise-sector/

https://researchcenter.paloaltonetworks.com/2018/09/unit42-multi-exploit-iotlinux-botnets-mirai-gafgyt-target-apache-struts-sonicwall/



관련글 더보기

댓글 영역