다양한 기기를 노리는 새로운 IoT 봇넷인 Dark Nexus 발견

Dark Nexus, a new IoT botnet that targets a broad range of devices

비트디펜더의 사이버 보안 연구원들이 DDoS 공격에 사용되는 새로운 IoT 봇넷인 Dark Nexus를 발견했습니다.

이 봇넷은 익스플로잇을 통해 확산되고, 라우터(다산 존, Dlink, ASUS), 영상 레코더, 열 화상 카메라를 포함한 광범위한 IoT 기기에 대해 크리덴셜 스터핑 공격을 실행합니다.

“이 스캐너는 Telnet 프로토콜과 후속 감염 단계를 모델링하는 유한 상태 기계로 구현되어 공격자는 이전 명령 출력을 기반으로 명령을 발행합니다.”

Dark Nexus라는 이름은 봇넷 배너에 인쇄된 문자열에서 따왔습니다. 전문가들은 일부 봇넷 기능은 직접 작성한 것이지만, 코드에서는 Mirai와 Qbot과 유사한 점이 발견되었다고 밝혔습니다.

Dark_nexus는 올해 초 활동을 시작했으며, 현재 최소 1,372대의 감염된 기기로 구성되어 있으며 리버스 프록시 역할을 합니다. 전문가들은 중국, 한국, 태국, 브라질 및 러시아에서 감염이 발생했다고 밝혔습니다.

“이전에 알려진 IoT 봇넷과도 일부 기능을 공유하는 것으로 보이지만, 모듈 중 일부는 더욱 강력하게 개발되었습니다.”

“예를 들어, 페이로드는 CPU 아키텍쳐 12개에 사용할 수 있도록 컴파일 되었으며 피해자의 구성을 기반으로 동적으로 확산됩니다.”

Dark Nexus 코드 분석을 통해 Qbot과 Mirai와 코드가 유사한 부분이 발견되었지만, 대부분의 코드는 “직접 작성된” 것이었습니다. 이 코드는 자주 업데이트되며, 비트디펜더는 2019년 12월 ~ 2020년 3월 사이에 발행된 버전 30개를 발견했습니다. (버전 4.0 ~ 8.6)

“이 봇의 시작 코드는 Qbot과 유사합니다. 여러 번 분기하고, 여러 신호를 차단하고, 터미널로부터 자신을 분리

합니다”

“Mirai와 유사한 점은 고정 포트(7630)에 바인딩하여 기기에서 해당 봇의 단일 인스턴스가 실행될 수 있도록 한 것입니다. 이 봇은 자신의 이름을 ‘‘/bin/busybox’로 변경하여 위장하려 시도합니다. Mirai에서 가져온 또 다른 기능은 가상 기기에서 주기적 ioctl 호출을 통해 워치독을 비활성화 하는 것입니다.”

전문가들은 여러 서버로 구성된 C2 기능을 분석했습니다. 브루트포싱 공격이 성공하면 이 봇은 C2 서버에 등록하여 해당 기기에 대한 자세한 정보를 제공합니다. 그 후 Telnet으로부터 커스텀 페이로드를 받습니다. 전문가들은 최소 CPU 아키텍쳐 12개에 대한 커스텀 페이로드를 발견했습니다.

이 악성코드는 호스팅 서버 (switchnets[.]net:80)로부터 봇 바이너리 및 다른 악성코드 컴포넌트를 다운로드 및 실행합니다.

전문가들은 Dark Nexus 봇넷의 버전 중 일부(4.0 to 5.3)에서 리버스 프록시 기능을 구현해 피해자가 호스팅 서버의 프록시 역할을 할 수 있도록 했습니다. 이로써 감염된 기기는 중앙 C2 호스팅 서버에 접근하지 않고 필요한 실행파일을 로컬에 저장할 수 있게 되었습니다.

봇넷에 구현된 가장 흥미로운 기능 중 하나는, 기기기의 재부팅을 막도록 설계된 지속성 명령입니다. 이 명령은 cron 서비스를 종료하고 기기를 재부팅하는데 사용할 수 있는 서비스에 대한 권한을 제거합니다.

비트디펜더에 따르면, 이 봇넷은 ‘greek.Helios’라는 닉네임을 사용하는 한 개인이 개발했습니다. 그는 서비스형 DDoS에 사용되는 또 다른 IoT 봇넷의 제작자이기도 합니다. 그는 유튜브 채널에 자신의 봇넷을 광고합니다.

“그는 유튜브 영상을 통해 그의 과거 작업과 데모를 공개하며 다양한 범죄자 포럼에 광고합니다. greek.Helios는 IoT 악성코드에 대한 경험이 있는 것으로 보이며, 이를 연마하여 새로운 dark_nexus 봇넷을 개발한 것으로 보입니다.”

현재 알약에서는 해당 악성코드에 대해 Backdoor.Linux.Mirai로 탐지중에 있습니다. 

출처 :

https://securityaffairs.co/wordpress/101264/malware/dark-nexus-iot-botnet.html

https://labs.bitdefender.com/2020/04/new-dark_nexus-iot-botnet-puts-others-to-shame/

https://www.bitdefender.com/files/News/CaseStudies/study/319/Bitdefender-PR-Whitepaper-DarkNexus-creat4349-en-EN-interactive.pdf