상세 컨텐츠

본문 제목

Linux Remaiten 악성 프로그램들이 사물인터넷 디바이스를 봇넷으로 만들고 있다.

국내외 보안동향

by 알약(Alyac) 2016. 4. 5. 11:50

본문

Linux Remaiten 악성 프로그램들이 사물인터넷 디바이스를 봇넷으로 만들고 있다.

The Linux Remaiten malware is building a Botnet of IoT devices


ESET연구원이 발견한 KTN-Remastered(혹은 KTN-RM)이라고 불리는 악성 프로그램은 Tsunami(혹은 Kaiten) 및 Gafgyt가 결합된 프로그램 입니다. Tsunami는 모두 알고 있는 IRC Bot의 백도어로, DDoS 공격을 일으킬 수 있는 악성코드 이며, Gafgyt는 telnet 스캔을 할 때 사용하는 프로그램 입니다. 


KTN-RM은 Renaiten 이라고도 불리며, 실행가능한 악성 2진수 문서를 내려받아 임베디드 플랫폼 및 기타 연결 디바이스들을 감염시킵니다. 


다음은 ESET 공식 블로그 문장 중 일부분 입니다. 


최근 우리는 Tsunami 와 Gafgyt의 기능이 결합된 새로운 악성코드를 발견하였으며, 이 두가지 툴의 기능 이외에 새로운 기능도 포함되어 있습니다. 우리는 이 새로운 악성코드를 Linux / Ramaiten이라고 명명하였습니다. 현재까지 우리는 Linux/Remaiten의 3가지 버전인 버전 2.0, 2.1, 2.2를 발견하였습니다. 코드 분석을 통하여, 해당 악성코드 발견다는 이 새로운 악성 프로그램을 "TKN-Remasterd" 혹은 "KTN-RM"이라고 부르기로 하였습니다. 


Linux 악성코드는 어떻게 동작할까?


해당 악성코드는 먼저 telnet 스캔을 진행하여 라우터와 스마트 디바이스를 검색합니다. 일단 연결이 성공하면, 악성프로그램은 Brute Force 방식을 이용하여 로그인을 시도합니다.


일단 로그인이 성공하면, 악성코드는 shell 명령을 내려보내고, 다양한 시스템 프레임워크를 타겟으로 하는 악성 이진수 문서를 내려보내 해당 시스템에서 실행시킵니다. 


또한 이 이진수 악성코드에는 C&C 서버 및 ip 주소가 하드코딩 되어 있는데, 서버로 감염된 디바이스 정보(즉 ip주소, 로그인 자격증면, 감염상태)를 보내어 원격제어를 할 수 있습니다. 


telnet 스캔을 통하여 임의의 ip주소의 23번 포트에연결을 시도합니다. 만약 연결이 성공하면, 사용자의 ID/PW가 조합된 리스트를 이용하여 Brute Force를 시도합니다. 로그인이 성공하면, shell 명령을 내려보내 다양한 프레임워크를 타겟으로 하는 이진수 악성문서를 내려보내고 실행을 시도합니다. 보기에는 매우 번거로워 보이지만 사실 새로운 디바이스를 감염시킬 수 있는 간단한 방식입니다. 왜냐하면 한가지 이진수 문서만 있다면, 운영중인 프로그램 중에서 실행할 수 있기 때문입니다. 


현재 알약에서는 해당 악성코드에 대하여 Trojan.Linux.Kaiten.A, Trojan.Linux.Kaiten.B로 탐지하고 있습니다.




참고 :

http://www.welivesecurity.com/2016/03/30/meet-remaiten-a-linux-bot-on-steroids-targeting-routers-and-potentially-other-iot-devices/ 

http://securityaffairs.co/wordpress/45820/iot/linux-remaiten-iot-botnet.html

관련글 더보기

댓글 영역