미라이, 사토리, 마수타로 이어지는 사물인터넷 봇넷 멀웨어
오래된 라우터 내 SOAP 프로토콜 취약점 노려

[보안뉴스 문가용 기자] 미라이(Mirai)이 기초한 새로운 사물인터넷 봇넷 멀웨어가 또 등장했다. 이름은 마수타(Masuta)로 최근 두 가지 버전이 공존하는 것으로 파악되고 있다. 또한 오래된 라우터 취약점을 익스플로잇한다고 알려져 있다. 이는 보안 업체 뉴스카이 시큐리티(NewSky Security)가 파악해낸 내용이다.


마수타의 소스코드는 현재 다크웹에 ‘초대받은 일부’에게만 공개되어 있는 상태로, 이를 손에 넣는 데 성공한 뉴스카이의 전문가들은 분석을 통해 미라이와의 유사점과 차이점을 찾아냈다. 또한 마수타보다 조금 더 전에 발견된 미라이의 또 다른 변종, 사토리(Satori)와 연루된 인물인 넥서스 제타(Nuxus Zeta)가 사용하고 있던 도메인의 이름도 발견할 수 있었다.

뉴스카이는 자연스럽게 “미라이의 변종들을 만들어내는 데에 있어 넥서스 제타라는 인물이 적극 관여하고 있는 것으로 보인다”는 결론에 도달했다. 미라이와 사토리는 요 몇 개월 간 사물인터넷 기기들을 좀비로 만들고 있다. 여기에 마수타까지 가세한 상황.

사실 마수타 멀웨어 자체가 이번에 새롭게 발견된 건 아니다. 마수타가 벌이고 있는 공격 캠페인 자체는 지난 9월부터 목격됐다. 그러므로 소스코드 분석을 통해 미라이와의 연관성이 발견된 것이 이번 뉴스카이 보고서의 가장 주요한 내용이다.

마수타의 또 다른 버전의 이름은 퓨어마수타(PureMasuta)다. 퓨어마수타는 마수타보다 더 미라이를 닮았다고 전문가들은 말한다. 미라이처럼 마수타와 퓨어마수타 전부 쉬운 비밀번호 혹은 디폴트 크리덴셜을 사물인터넷 기기들에 대입함으로써 장악을 시작한다. 마수타와 퓨어마수타가 미라이와 다른 점은 EDB 38722 D-Link의 취약점을 익스플로잇 한다는 것이다.

퓨어마수타 멀웨어가 익스플로잇하는 취약점은 HNAP라는 프로토콜(Home Network Administration Protocol) 내에 위치하고 있으며 SOAP라는 또 다른 프로토콜(Simple Object Access Protocol)을 기반으로 하고 있다. 특정 도메인(hxxp://purenetworks.com/HNAP1/GetDeviceSettings)을 사용하여 인증 과정을 우회하는 SOAP 쿼리를 만듦으로써 최종적으로는 임의의 코드를 실행하는 것이다.

마수타와 퓨어마수타는 둘 다 같은 C&C 서버(93.174.93.63)를 사용한다. 이러한 점도 “역시 같은 단체나 인물이 이 멀웨어를 만들었다고 생각게 하는 단서”라고 뉴스카이는 말한다. “SOAP과 관련된 익스플로잇을 활용한다는 측면에 있어서 넥서스 제타라는 인물은 초보가 아닙니다. 이미 사토리 봇넷을 통해 CVE-2014-8361과 CVE-2017-17215라는 SOAP 관련 취약점을 익스플로잇 한 전적이 있죠.”

이번에 발견된 마수타와 퓨어마수타가 익스플로잇 했던 것 역시 SOAP와 관련된 취약점이므로, 넥서스 제타라는 인물은 미라이 변종들을 통해 SOAP만 네 차례 공략한 것이다. “프로토콜의 취약점을 익스플로잇 하는 것은 사이버 공격자들이라면 누구나 해보고 싶어 하는 겁니다. 성공할 때 할 수 있는 일이 많아지거든요.”

프로토콜은 다양한 제조사들이 ‘알아서 해석하고 알아서 구성하는 것’이 보통이다. 이러한 부분에서 오류가 발생할 수도 있고, 프로토콜 자체에 있는 오류는 이미 걷잡을 수 없이 퍼져나가 여러 시스템에 영향을 끼칠 수도 있다. “프로토콜을 노리는 사물인터넷 멀웨어라니, 그 영향력이 점차 더 막강해질 것으로 보입니다. 넥서스 제타도 더 발전된 무기를 들고 나타날 가능성도 높고요.” 뉴스카이의 결론이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>