미라이(Mirai) 코드에서 C&C 서버를 중단하는 버그 발견

A bug in Mirai code allows crashing C2 servers

NewSky Security의 연구원인 Ankin Anubhav가 미라이 봇(Mirai) 변종에 존재하는 버그를 이용해 C&C 서버를 중단하는 방법에 대해 소개했습니다.

그는 계정 명에 1025개 이상의 문자 “a”를 연속적으로 사용하여 C&C 서버와 연결을 시도할 경우 C&C 서버가 중단된다고 밝혔습니다.

<이미지 출처: https://www.ankitanubhav.info/post/crash>

Github의 미라이 소스 코드 분석 결과, 사용자 이름이 Readline 커스텀 함수로 전달되는 것을 발견했습니다. 

이 함수는 고정 버퍼 사이즈 길이를 1024로 선언했기 때문에, 1024보다 큰 값을 입력할 경우 모듈이 중단됩니다.

<이미지 출처: https://www.ankitanubhav.info/post/crash>

주요 IoT 봇넷이 미라이 코드를 기반으로 하고 있기 때문에, 이 취약점은 많은 변종에 포함되었으며, 해커들 사이에서는 이미 활발히 사용되고 있습니다.

몇몇 공격자들은 이 취약점을 이용해 라이벌 C&C 서버를 중단시킨 것으로 나타났습니다.

IoT 공격자인 Scarface는 해킹 초보자들을 괴롭히기 위해 이 취약점을 종종 사용했다고 밝혔습니다.

이 취약점을 이용하여 C&C를 다운시키면, 봇넷 운영자가 이를 인지하고 다시 오픈할 때까지 계속 다운된 상태가 유지됩니다.

C&C 서버가 활성화되었을 때를 체크해 해당 서버를 지속적으로 중단하는 스크립트를 사용한다면 미라이 기반 봇넷이 쓸모 없어지게 될 것입니다.

하지만 전문가는 C&C 서버를 지속적으로 다운시키는 것은 불법이기 때문에 경찰 또는 CERT 및 ISP에 신고할 것을 권장했습니다.

출처:

https://securityaffairs.co/wordpress/85040/malware/mirai-servers-hack.html

https://www.ankitanubhav.info/post/crash