상세 컨텐츠

본문 제목

IoT 기기 수 천대를 벽돌화 시키는 Silex 악성코드 발견

국내외 보안동향

by 알약(Alyac) 2019. 6. 28. 11:40

본문

Silex malware bricks thousands of IoT devices in a few hours


Akamai의 연구원인 Larry Cashdollar가 단 몇 시간 만에 IoT 기기 수천 대를 벽돌화 시킬 수 있는 새로운 Silex 악성코드에 대해 경고했습니다. 


이 악성코드는 점점 심각한 상황을 초래하고 있는 것으로 나타났습니다.


해당 연구원은 Silex 악성코드가 시스템을 멈추기 전 감염된 기기의 저장 공간을 파괴하고, 방화벽 규칙 및 네트워크 구성을 삭제한다고 설명했습니다.

 

<이미지 출처: https://twitter.com/_larry0/status/1143532888538984448/photo/1>


악성코드에 감염된 기기를 복구하는 방법은 기기의 펌웨어를 수동으로 재설치하는 것입니다.


Silex가 이러한 악성 행위를 하는 첫 번째 IoT 악성코드는 아닙니다. 지난 2017년, BrickerBot은 전 세계 수백만 대의 기기를 벽돌화시켰습니다.


이 악성코드는 조사를 시작할 때쯤 350대의 기기를 벽돌화시킨 상태였지만, 1시간 후 기사를 발행할 때쯤에는 2,000대로 그 수가 급격히 증가했습니다.


전문가들은 공격은 여전히 진행 중이며, 악성 행위는 날이 갈수록 더 심각해질 것이라고 경고했습니다.


Ankit Anubhav 연구원은 공격자 추적 결과, 이 봇은 감염된 IoT 기기들을 벽돌화하기 위해 개발된 것이라 밝혔습니다.


<이미지 출처: https://twitter.com/ankit_anubhav/status/1143559938003701760>


또한, Anubhav는 Silex 악성코드 제작자가 온라인 필명 Light Leafon을 사용하는 10대라 추측했습니다. 이 제작자는 과거 ITO IoT 봇넷을 제작한 경험이 있습니다.


Cashdollar에 따르면, Silex 악성코드는 로그인을 시도하고 악성 행위를 하기 위해 알려진 IoT 기기용 디폴트 크리덴셜들의 목록을 사용합니다. 


이 악성코드는 발견하는 마운트된 저장 장치마다 "/dev/random"에서 가져온 랜덤 데이터를 기록합니다.


그리고 기기를 중지시키거나 재부팅 하기 전 네트워크 세팅 및 기기 내 모든 데이터를 삭제하고, iptable 항목들을 플러시합니다.


이 IoT 악성코드는 기본 로그인 크리덴셜을 사용하여 모든 Unix 계열 시스템을 노립니다. 


Cashdollar는 Unix 계열 OS를 실행하는 모든 아키텍처를 공격하기 위해 이 악성코드가 Bash 쉘 버전을 악용한다고 밝혔습니다.


또한, 잘 알려진 크리덴셜을 사용하는 텔넷 포트를 오픈해 둔 리눅스 서버를 벽돌화할 수도 있습니다.


공격에서 사용하는 IP 주소 (185[.]162[.]235[.]56)는 이란에서 운영되는 novinvps.com이 소유한 VPS 서버에서 호스팅되는 것으로 나타났습니다.


Ankit Anubha에 따르면, 이 악성코드 개발자는 HITO 봇넷을 완전히 포기한 상태이며, Silex에 더욱 SSH 하이재킹, 익스플로잇 등 파괴적인 기능을 추가할 계획이라 밝혔습니다.


현재 알약에서는 해당 악성코드에 대해 'Backdoor.Linux.Bot.Silex, Backdoor.Linux.Bricker' 으로 탐지 중에 있습니다.




출처:

https://securityaffairs.co/wordpress/87609/iot/silex-malware-bricks-iot-devices.html

https://www.zdnet.com/article/new-silex-malware-is-bricking-iot-devices-has-scary-plans/

https://chrisdietri.ch/post/silexbot-brick-iot-devices/

관련글 더보기

댓글 영역