기술 지원
문서
로그인
문의하기
Linux 서버와 IoT 디바이스를 노리는 Mirai 멀웨어
2023년 3월 3일 TuxCare 홍보팀
42팀 연구원들은 미라이 봇넷의 새로운 변종인 '미라이 v3g4'를 발견했는데, 이 봇넷은 사물인터넷(IoT) 디바이스의 패치되지 않은 취약점 13개를 노립니다. 라우터, 카메라, NAS(네트워크 연결 스토리지) 장치 등 다양한 장치에서 이 결함이 발견되었으며, 해커가 해당 장치를 제어하여 악의적으로 사용할 수 있습니다.
주로 미국과 유럽에 있는 수만 대의 디바이스가 새로운 봇넷에 감염된 것으로 추정됩니다. 이 봇넷은 취약점을 노리기 위해 몇 년 전부터 알려진 익스플로잇과 새로운 익스플로잇을 혼합하여 사용합니다. 이는 많은 사용자가 디바이스를 업데이트하고 기본 비밀번호를 변경하는 등 기본적인 보안 예방 조치를 취하지 않고 있다는 것을 의미합니다.
취약한 디바이스가 V3G4로 알려진 변종에 감염되면 공격자가 완전히 제어할 수 있으며 DDoS 공격과 같은 추가 캠페인을 수행할 수 있는 봇넷의 일부가 될 수 있습니다.
연구원들은 "V3G4는 스캐너 및 무차별 암호 대입을 위한 기본 로그인 자격 증명이 내장된 데이터 섹션인 오리지널 Mirai 변종에서 가장 중요한 기능을 물려받았습니다."라고 말합니다. "또한, 오리지널 미라이와 마찬가지로 모든 자격 증명을 XOR 키 0x37로 암호화합니다."라고 42 유닛은 말합니다.
유닛 42는 "이 취약점은 이전에 관찰된 변종보다 공격 복잡성은 낮지만 원격 코드 실행으로 이어질 수 있는 중대한 보안 영향을 유지합니다."라고 말했습니다.
연구원에 따르면 대부분의 미라이 변종은 문자열 암호화에 동일한 키를 사용하지만, V3G4 변종은 시나리오에 따라 서로 다른 XOR 암호화 키를 사용합니다(XOR은 암호화에 자주 사용되는 부울 논리 연산입니다).
V3G4는 기본 또는 취약한 로그인 자격 증명 세트와 함께 제공되며, 이를 사용하여 텔넷 및 SSH 네트워크 프로토콜을 통해 무차별 암호 대입 공격을 시작하고 다른 시스템으로 확산시킵니다. 그 후 C2 서버에 연결하여 명령을 기다렸다가 표적에 대한 DDoS 공격을 실행합니다.
V3G4는 Asterisk 통신 서버용 FreePBX 관리 도구(취약점 CVE-2012-4869), Atlassian Confluence(취약점 CVE-2022-26134), Webmin 시스템 관리 도구(CVE-2019-15107), DrayTek Vigor ruters(CVE-2020-8515 및 2020-15415), C-Data 웹 관리 시스템(CVE-2022-4257)의 취약점을 이용했습니다.
IoT 기반 공격의 가장 잘 알려진 사례 중 하나는 미라이 봇넷입니다. 2016년에 처음 등장한 이 봇넷은 이후 주요 웹사이트에 장애를 일으킨 2016년 Dyn 사이버 공격 등 여러 유명 공격의 원인이 되었습니다. 이 봇넷은 인터넷에서 취약한 디바이스를 검색한 다음 이를 분산 서비스 거부 공격이나 기타 악의적인 활동에 사용하는 방식으로 작동합니다.
새로운 미라이 변종의 발견은 사물 인터넷 기반 공격이 지속적으로 위협을 가하고 있음을 보여줍니다. IoT 디바이스의 수가 증가함에 따라 해커에 의해 이러한 디바이스가 손상될 위험도 커지고 있습니다. 이러한 위험을 줄이려면 사용자는 디바이스 업데이트, 강력한 비밀번호 사용, 네트워크 액세스 제한과 같은 기본적인 보안 예방 조치를 취해야 합니다. 또한 잠재적인 공격을 감지하고 대응하기 위해 보안 소프트웨어 및 모니터링 도구 사용을 고려해야 합니다.
이 글의 출처는 SCMagazine의 기사입니다.
