아마존에서 판매하고 있는 CCTV에 악성코드가 탑재되어 있다?

아마존에서 판매하고 있는 CCTV에 악성코드가 탑재되어 있다?

Warning! CCTV Cameras Sold on Amazon Come with Pre-Installed Malware

최근, 보안연구원 Mark Olsen은 아마존에서 판매중인 CCTV에 악성코드가 탑재되어 있는것을 발견하였습니다. 

이 연구원은 아마존 판매업체 중 "Urban Security Group(USG)"의 업체에서 Sony Chip HD 6 Camera 1080P PoE IP CCTV를 구매하였습니다. 

하지만 친구를 도와서 CCTV를 설치하는 과정에서, Olsen은 관리자 페이지에 로그인을 하고 관리 시스템을 설정하려고 하였습니다. 하지만, 그가 디바이스의 web관리 페이지에 접속하였을 때, CCTV의 신호입력 인터페이스가 일반적인 컨트롤 항목을 제공하고 있지 않은것을 발견하였습니다. 

코드상에 오류로 인하여 이런 상황이 발생했을 것이라고 추측한 Olsen은 브라우저의 개발자 모드로 분석을 하기 시작하였습니다. 그리고 조사결과 body 밑부분에 숨겨져 있는 iframe을 확인하였으며, Brenz.pl의 도메인이 포함되어 있었습니다.

brenz.pl은 이전에 사이버 범죄에 사용됬었던 도메인으로, Sucuri가 작성한 2011년 보고서 중에서 확인할 수 있었으며, 2009년 해당 도메인에서 악성코드를 유포한 적도 있었습니다.

이는 즉, 해당 CCTV kit이 이미 악성코드에 감염됬을 가능성이 있으며, Brenz.pl의 관리자가 iframe을 통하여 악성코드를 DVR의 백그라운드로 내려보낸 것 입니다. 

일단 CCTV의 운영업체 페이지에 방문하면, 악성프로그램이 다운로드 및 설치되며, 이 악성코드는 비합법적으로 사용자의 데이터를 훔치는 등의 역할을 합니다.

CCTV에 있는 악성코드는 사용자의 영상을 훔치고, 사용자의 CCTV를 DDoS공격을 하는 봇으로 만들수도 있습니다. 

Breza.pl 도메인은 이미 펌웨어에 포함되어 있으며, 이 펌웨어 안에 또 다른 악성코드가 있을 가능성도 배제할 수 는 없습니다. 

보안연구원은 예전에 펌웨어의 Web관리자 페이지 중 HTML 코드 중에 악성코드가 포함되어 있는 것을 확인한 적이 있으며, 매 HTML문서들은 www.brenz.pl의 iframe을 가르키고 있었습니다. 이는 해당 주소가 악성코드를 유포하는 유포지라는 뜻입니다. 

그렇기 때문에, 보안전문가는 사용자들에게 이런 제품을 구매하기 전 구매평을 충분히 읽어보고, 신뢰할 만한 브랜드의 제품을 구매하라고 하였습니다. 

현재, www.brenz.pl 홈페이지를 Chrome 브라우저로 방문할 경우 경고창을 띄우고, 몇몇 보안제품들 역시 악성 url로 인식하고 있습니다. 

출처 :

http://thehackernews.com/2016/04/home-security-system.html