라우터, IoT 기기의 데이터를 삭제하는 새로운 HEH 봇넷 발견

 

New HEH botnet can wipe routers and IoT devices

 

 

 

라우터, 서버, IoT 기기 등 감염된 시스템의 모든 데이터를 삭제하는 코드가 포함된 봇넷이 발견되었습니다.

 

 

 

HEH라 명명된 이 봇넷은 Telnet 포트(23, 2323)가 온라인에 노출된 인터넷에 연결된 시스템에 브루트포스 공격을 실행하여 확산됩니다.

 

 

 

연결된 기기가 디폴트 또는 추측이 쉬운 비밀번호를 사용할 경우, 봇넷은 시스템에 침입하여 HEH 악성코드를 설치하는 바이너리 7개 중 하나를 즉시 다운로드합니다.

 

 

 

이 HEH 악성코드는 DDoS 공격 실행, 크립토마이너 설치, 프록시를 실행하거나 트래픽을 릴레이하는 코드 등 어떠한 공격적인 기능도 포함하고 있지 않습니다.

 

 

 

이 봇넷은 규모를 키우기 위해 감염된 기기가 인터넷을 통해 SSH 브루트포스 공격을 수행하도록 합니다. 이로써 공격자가 감염된 기기에서 셸 명령을 실행할 수 있도록 합니다. 두 번째 기능은 기기 내 모든 파티션의 데이터를 삭제하는 사전 정의된 셸 작업 목록을 실행하는 것입니다.

 

 

 

아직 개발 초기 단계인 봇넷

 

 

 

HEH는 Qihoo 360의 네트워크 보안 부서인 Netlab이 처음으로 발견하여 보고서를 공유했습니다.

 

 

 

이는 비교적 새로운 봇넷이기 때문에, 연구원들은 데이터 삭제 작업이 의도된 것인지 아니면 자체 파괴 루틴이 잘못 코딩된 것인지 확신할 수 없었습니다.

 

 

 

그러나 목적과는 관계 없이 이 기능이 촉발될 경우 기기 수백 또는 수천 대가 작동하지 않는 상태가 될 수 있습니다.

 

 

 

여기에는 가정용 라우터, IoT 스마트 기기, 리눅스 서버까지 포함됩니다. 이 봇넷은 윈도우 시스템을 포함하여 SSH 포트가 제대로 보호되지 않는 모든 기기를 감염시킬 수 있습니다. 하지만 HEH는 *NIX 플랫폼에서만 동작합니다.

 

 

 

이 악성코드가 모든 파티션 내 데이터를 삭제하기 때문에 기기의 펌웨어나 OS까지 함께 삭제됩니다. 따라서 펌웨어나 OS가 다시 설치되기 전까지 기기가 벽돌 상태가 될 수 있습니다.

 

 

 

그러나 사용자들은 펌웨어를 재설치하는 방법을 모르기 때문에 그냥 기기를 버리고 새로운 것을 구매하는 쪽을 택하는 경우가 많습니다.

 

 

 

Netlab은 x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III), PPC CPU 환경에서 실행이 가능한 HEH 샘플을 발견했다고 밝혔습니다.

 

 

 

이 봇넷은 현재도 확산되고 있는 것으로 나타났습니다.

 

 

 

 

 

 

 

 

 

 

 

출처:

 

https://www.zdnet.com/article/new-heh-botnet-can-wipe-routers-and-iot-devices/

 

https://blog.netlab.360.com/heh-an-iot-p2p-botnet/