상세 컨텐츠

본문 제목

EwDoor 봇넷, AT&T 고객들 노려

국내외 보안동향

by 알약4 2021. 12. 2. 14:00

본문

New EwDoor Botnet is targeting AT&T customers

 

Qihoo 360 네트워크 보안 연구소의 전문가들이 인터넷에 공개적으로 노출된 EdgeMarc ESBC(Enterprise Session Border Controller) 에지 장치를 사용하는 AT&T 고객을 노리는 새로운 봇넷인 EwDoor를 발견했습니다.

 

공격자는 CVE-2017-6079 취약점과 상대적으로 특이한 마운트 파일 시스템 명령을 함께 악용하여 Edgewater Networks의 장치를 노리고 있었습니다

 

Qihoo 360에서는 아래와 같이 밝혔습니다.

 

2021 10 27, 당사의 Botmon 시스템이 한 공격자가 CVE-2017-6079를 악용하여 Edgewater Networks의 기기를 공격하며 페이로드에 상대적으로 특이한 마운트 파일 시스템 명령을 사용하는 것을 발견했으며 분석 결과 이것이 사실임을 확인했습니다. 이는 완전히 새로운 봇넷이며, Edgewater 생산자를 노리고 백도어 기능을 가지고 있기 때문에 EwDoor라 명명했습니다.”

 

연구원들은 제한된 시간 동안 싱크홀링을 통해 봇넷의 크기를 알아낼 수 있었고, EwDoor C2를 위해 백업 메커니즘을 사용하고, 감염된 기기의 연결을 분석하기 위해 백업 명령 및 제어(C2) 도메인(iunno[ .]se)을 사용한다는 것을 발견했습니다.

 

이후 EwDoor 운영자는 통신 모델을 변경해 전문가들은 더 이상 분석이 불가능해졌습니다.

 

연구원들이 몇 시간 동안 관찰한 결과, 감염된 시스템은 AT&T에서 사용하는 EdgeMarc Enterprise Session Border Controller임을 발견했습니다. 전문가들은 미국에 있는 5,700개의 시스템이 감염된 것을 확인했습니다.

 

"이 장치에서 사용하는 SSL 인증서를 다시 확인한 결과 동일한 SSL 인증서를 사용하는 IP가 약 10만 개 있다는 것을 발견했습니다. IP에 해당하는 장치가 몇 개나 감염될 수 있는지는 확실하지 않지만, 등급이 동일하기 때문에 실제로 영향을 미쳤을 것이라 추측해볼 수 있습니다.”

 

연구원들은 악성 코드 버전 3가지를 확인했습니다. 이 봇은 주로 DDoS 공격 광고를 통히 감염된 장치에 백도어를 구성해 통화 기록과 같은 민감 정보를 수집하는 데 사용되었습니다.

 

이 봇은 아래 기능을 지원합니다.

 

자체 업데이트

포트 스캐닝

파일 관리

디도스 공격

리버스 셸

임의 명령 실행

EwDoor

 

 

<이미지 출처: https://blog.netlab.360.com/warning-ewdoor-botnet-is-attacking-att-customers/>

 

 

봇넷은 TLS 프로토콜을 사용하여 통신을 가로채는 것을 방지하고, 민감한 리소스를 암호화하여 리버스 엔지니어링을 어렵게 하고, C2를 클라우드로 이동하고, IOC 시스템의 직접 추출을 막기 위해 BT 트래커에서 전송하는 등 보안 전문가의 분석을 방지하기 위한 여러 보호 장치를 구현했습니다.

 

"이들은 ELF에서 "ABIFLAGS" PHT를 수정하여 qemu-user Linux 샌드박스의 일부 상위 커널 버전에 대응합니다.  이는 비교적 드문 대응책으로 EwDoor 제작자가 Linux 커널, QEMU, Edgewater 장치에 매우 익숙하다는 것을 보여줍니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125143/cyber-crime/ewdoor-botnet.html

https://blog.netlab.360.com/warning-ewdoor-botnet-is-attacking-att-customers/ (IOC)

관련글 더보기

댓글 영역