• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해커들 사이에서 인기 오르는 고 언어 기반 새 봇넷 멀웨어 2021.11.15

미라이를 기반으로 하고 있으며 고 언어로 작성된 새 봇넷 멀웨어가 출현했다. 다만 최종 페이로드가 밝혀지지 않아 지금으로서는 공격자들의 동기와 신원을 추측하기 힘든 상태다. 하지만 유연성이 높아 당분간 사물인터넷 생태계를 위협할 전망이다.

[보안뉴스 문가용 기자] 거대 통신사 AT&T의 IT 보안 전문가들이 새로운 멀웨어를 발견해 추적했다. 잡고 보니 봇넷 멀웨어였고, 무려 30개의 다양한 익스플로잇들을 내포하고 있었으며, 주로 라우터와 사물인터넷 장비들을 침해하는 것으로 밝혀졌다.

[이미지 = utoimage]


이 멀웨어의 이름은 보테나고(BotenaGo)이며, 유명 사물인터넷 봇넷 멀웨어인 미라이(Mirai)를 기반으로 하고 있는 것으로 분석됐다. 현재 보테나고는 베타 버전으로 보이지만 이미 수백만~수천만 대의 사물인터넷 장비들을 침해할 수 있는 잠재력을 가지고 있다고 한다. 게다가 탐지도 매우 어려운 편에 속한다.

보테나고는 이름에서도 드러나듯 고(Go)라는 오픈소스 프로그래밍 언어로 만들어져 있다. 리눅스 기반 라우터와 사물인터넷 장비들을 표적으로 삼는다. 고 언어는 멀웨어 제작자들 사이에서 빠르게 인기가 높아지고 있으며 보안 업체 인테저(Intezer)가 분석한 바에 따르면 최근 몇 년 동안 2000%나 사용량이 증가했다고 한다.

AT&T의 보안 전문가 오퍼 카스피(Ofer Caspi)에 의하면 보테나고는 장비를 침해한 후 백도어만 열어둔 상태로 공격자의 명령을 기다린다고 한다. 아직은 딱 거기까지만 멀웨어 개발이 완료된 상태로 보이며, 그래서 아직 베타 버전에 머물고 있는 것으로 AT&T는 보고 있다.

기다리던 보테나고에 원격 공격자들은 주로 19412 포트나 31412 포트를 통해 명령을 주입한다. 주로 셸 명령어들이 주입되는데, 주로 장비를 분석하고 그 결과에 따라 다양한 페이로드를 심기 위한 작업이 진행된다. 다만 최종 버전이 아니라 공격자들이 정말로 사용하고자 하는 페이로드가 무엇인지는 아직 알 수가 없고, 따라서 공격자들의 궁극적 목적도 아직은 오리무중이다.

실제 아직 AT&T나 다른 보안 업체들은 보테나고의 개발자에 대해 알아낸 바가 없다. 또한 이 멀웨어의 공략 대상이 정확이 어떤 기기들이며, 잠재적 피해 규모가 얼마나 될 지도 아직은 정확히 알 수 없다. 백신 엔진들도 대부분 보테나고 탐지에 실패하거나 미라이로 인식한다고 한다.

보테나고의 차별점은 C&C 서버와 활발하게 교신하지 않는다는 것이다. 대부분의 봇넷 멀웨어들이 C&C 서버와의 교신을 활발히 이어가는 것과 완전히 반대되는 특성이다. 이에 분석가들은 보테나고가 그 자체로 독립적인 기능을 가진 멀웨어가 아니라 다른 멀웨어의 모듈 중 하나일 가능성도 높게 보고 있다. 아니면 베타 단계에서 C&C 통신 기능이 아직 첨가되지 않은 것일 수도 있다고 한다.

AT&T 측은 보테나고에 관한 분석 보고서를 발표하면서 “개발자들이 다양한 방식으로 멀웨어 업그레이드를 진행할 것으로 보인다”며 “다양한 OS 플랫폼들에서도 작동한다는 사실과 결합했을 때 보테나고의 유연성은 꽤나 높아질 것으로 예상된다”고 경고했다. 사물인터넷 생태계에 꽤 오랜 시간 남게 될 위협이 될 수 있다는 소리다.

현재까지 보테나고는 취약점 익스플로잇을 통해 최초 침투를 이뤄내는 것으로 보인다. 즉 소프트웨어와 펌웨어의 주기적이고 발 빠른 업데이트가 최소한의 보호 장치가 될 수 있다는 뜻이 된다. 뿐만 아니라 네트워크 트래픽의 모니터링, 방화벽 설정 강화, 인터넷에 노출된 자산 최소화 등의 수칙도 큰 도움이 된다고 전문가들은 강조한다.

그 외에도 디폴트 로그인 설정을 바꿔주는 게 미라이와 그 변종들을 방어하는 데에는 효과적이다. 미라이가 원래부터 약한 크리덴셜을 대입하는 방식으로 사물인터넷 장비들을 뚫어내는 기능을 가진 봇넷이었기 때문이다.

3줄 요약
1. 미라이를 기반으로 한 새 봇넷 멀웨어, 보테나고 등장.
2. 아직은 기능이 온전하지 않아 보여, ‘베타 버전’ 혹은 ‘모듈’로 의심됨.
3. 고 언어로 되어 있고, OS를 크게 가리지 않아 유연함이 돋보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>