Netgear, D-Link, 화웨이 라우터를 점령하는 Mozi P2P 봇넷 발견

New Mozi P2P Botnet Takes Over Netgear, D-Link, Huawei Routers

Netgear, D-Link, 화웨이 라우터의 취약한 텔넷 패스워드를 찾는 새로운 P2P 봇넷인 Mozi가 발견 되었습니다. 이 봇넷은 Gafgyt 악성코드의 코드 중 일부를 재사용하고 있었습니다.

이 봇넷을 발견한 후 약 4개월동안 활동을 모니터링해온 360 Netlab의 보안 연구원들은 이 봇넷의 주 목적이 DDoS 공격을 실행하는 것이라 밝혔습니다.

이 봇넷은 토렌트 클라이언트 및 기타 P2P 플랫폼에서 노드 컨택트 정보를 저장하는데 흔히 사용하는 커스텀 확장 DHT(Distributed Hash Table) 프로토콜을 사용하여 구현되었습니다.

이를 통해 서버를 사용하지 않고도 빠르게 봇넷의 네트워크를 설정할 수 있었습니다. 또한 대량의 정상적인 DHT 트래픽 속에 유효한 페이로드를 숨길 수 있어 관련 지식이 없을 경우 탐지가 불가능하도록 만들었습니다.

또한 Mozi는 봇넷 컴포넌트와 P2P 네트워크의 무결성 및 보안을 위해 ECDSA384, XOR 알고리즘을 사용합니다.

<Mozi 봇넷>

<출처: https://blog.netlab.360.com/mozi-another-botnet-using-dht/>

확산 방법 및 타깃 기기

이 악성코드는 새로운 취약한 기기로 전파되기 위해 텔넷 및 익스플로잇을 사용합니다. 취약한 패스워드를 사용하는 타깃 라우터 또는 CCTV DVR에 로그인하여 패치되지 않은 호스트를 악용하는데 성공한 후 페이로드를 드롭 및 실행합니다.

악성코드가 해킹된 기기에 로드 되면, 새로이 활성화된 봇은 자동으로 Mozi P2P 네트워크에 새로운 노드로 참여하게 됩니다.

이후 새로운 봇 노드는 봇넷 주인으로부터 명령어를 받아 실행합니다. 동시에 봇넷에 추가하기 위한 목적으로 다른 취약한 Netgear, D-Link, 화웨이 라우터를 검색합니다.

“Mozi가 DHT 프로토콜을 통해 P2P 네트워크를 구축한 후 구성 파일이 동기화되고, 해당 구성 파일 내 지시에 따른 작업이 시작됩니다.”

<Mozi 봇넷 감염 활동>

<출처: https://blog.netlab.360.com/mozi-another-botnet-using-dht/>

Mozi 운영자는 다른 공격자가 봇넷을 빼앗아가지 못하도록 봇넷으로 전송되는 모든 명령 및 동기화된 구성을 자동으로 확인하도록 설정했습니다. 노드는 내부 확인 절차를 통과할 경우에만 이를 수용하고 실행합니다.

Mozi 노드는 명령을 받아 아래와 같은 공격을 실행할 수 있습니다.

DDoS 공격 실행 (이 모듈은 Gafgyt의 공격 코드를 재사용했으며 HTTP, TCP, UDP 및 기타 공격을 지원합니다.)

봇 정보 수집 및 추출 (봇 ID, IP, port, 파일명(전체 경로), 게이트웨이, CPU 아키텍쳐)

URL로부터 페이로드 실행

특정 URL로부터 업데이트 실행

시스템 또는 봇 커스텀 명령어 실행

360 Netlab의 연구원들은 9월 3일 첫 샘플을 발견한 이래로 Mozi를 모니터링해왔으며 Mozi가 아래 패치되지 않은 기기 모델 10개를 공격 및 감염시켜 P2P 네트워크에 추가한다고 밝혔습니다.

취약한 기기

Eir D1000 Router

Vacron NVR devices

Devices using the Realtek SDK

Netgear R7000 and R6400

DGN1000 Netgear routers

MVPower DVR

Huawei Router HG532

D-Link Devices

GPON Routers

D-Link Devices

CCTV DVR

점점 증가하는 P2P 봇넷

Nugache, Storm (Peacomm), Sality P2P, Waledac, Kelihos (aka Hlux), ZeroAccess (Sirefef), Miner, Zeus P2P와 같은 P2P 봇넷은 약 2006년 초부터 주인을 위한 대규모의 군대를 모았지만 현재는 사라졌습니다.

하지만 Hajime Hide 'N Seek(HNS)와 같은 다른 봇넷들은 여전히 취약한 기기를 찾고 있습니다.

P2P 봇넷은 싱크홀 공격에 매우 탄력성이 높은 것으로 알려져 있지만 ZeroAccess, Kelihos와 같이 취약한 사례도 있습니다.

Mozi에 싱크홀 공격이 가능할지 여부를 알아내기 위해서는 더 많은 조사가 필요합니다

현재 알약에서는 해당 악성코드에 대해 Backdoor.Linux.Gafgyt로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/new-mozi-p2p-botnet-takes-over-netgear-d-link-huawei-routers/

https://blog.netlab.360.com/mozi-another-botnet-using-dht/