• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

SOHO 장비 소유자들 비상! 미라이와 가프짓 활동 재개 2018.07.24

다산과 디링크에서 제조한 사물인터넷 장비들 익스플로잇해
공격자들의 빠른 익스플로잇 능력, 보안 커뮤니티도 속도 높여야

[보안뉴스 문가용 기자] 보안 전문가들이 사물인터넷 장비들과 관련된 두 가지 공격이 새롭게 시작됐다고 경고했다. 하나는 그 유명한 미라이(Mirai)이고 다른 하나는 가프짓(Gafgyt)이다.

[이미지 = iclickart]


미라이는 사물인터넷 장비들을 감염시켜 디도스 공격을 하는 멀웨어이며, 처음 등장 당시 기준으로 역사상 가장 큰 규모의 디도스 공격을 실행시켰다. 또한 2016년 10월 소스코드가 유출되면서 더욱 큰 위협으로 남아있다. 실제로 코드 유출 이후 미라이 변종이 여러 개 등장했는데, 가장 최신 버전은 위키드(Wicked)와 옴니(Omni)다.

가프짓은 2014년 처음 발견된 멀웨어로 배시라이트(Bashlite), 리즈케밥(Lizkebab), 톨러스(Torlus) 등의 이름으로도 알려져 있다. 가프짓 역시 2015년 소스코드가 유출되었으며, 2016년 여름까지 1백만 대가 넘는 장비를 감염시킨 바 있다.

보안 전문가들에 따르면 이 두 가지 멀웨어의 활동이 최근 들어 활발해졌다. 사물인터넷 장비들의 취약점을 익스플로잇 해가며 봇넷을 형성하기 위한 공격자들의 노력이 쏟아 부어지고 있다는 뜻이다. 또한 미라이와 가프짓 사이에 어떤 연관성이 있을 수 있다는 뜻도 된다. 이에 대해서는 2년 전 미라이 관련 보고서에서 살짝 언급된 바 있다.

최근 급증한 공격은 옴니와 관련이 있다. 옴니는 미라이 변종 중 최근에 등장한 것으로 독특한 익스플로잇 메커니즘 덕분에 미라이 변종들 가운데서도 돋보이는 존재라고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 밝힌다.

옴니 봇넷은 다양한 취약점들을 익스플로잇 한다.
1) 지난 5월 공개된 다산(Dasan)의 GPON 라우터에 있는 취약점 두 개
2) 화웨이 라우터 장비의 보안 버그
3) 디링크(D-Link) 장비들에서 발견된 명령 실행 버그 두 개
4) 바크론(Varcon)의 NVR 장비들에서 발견된 취약점들
5) JAWS 웹서버 명령 실행 취약점
6) 약 70개 제조사에서 만든 CCTV와 DVR 장비들의 원격 코드 실행 취약점

또한 최근의 옴니 공격에서는 두 개의 암호화 기술이 함께 사용되기도 했는데, 이는 미라이 특유의 크리덴셜 브루트포싱 공격 메커니즘을 버렸다는 뜻이 된다고 팔로알토는 설명한다. 멀웨어가 사용하는 IP 주소를 통해서 페이로드가 전달되고 있으며, C&C 서버에서는 가프짓 샘플이 일부 발견되기도 했었다. 두 멀웨어 사이의 연관성이 더 의심되는 부분이다.

또 다른 공격은 위의 옴니 공격과 똑같은데, 브루트포스 공격 메커니즘이 더 추가됐다. 이 멀웨어가 대입해보는 크리덴셜은 대부분 캠트로(Camtron) IP 카메라 장비들과 컨트롤4(Control4), ADC 플렉스웨이브 프리즘(FlexWave Prism) 장비들의 디폴트 크리덴셜을 포함하고 있었다.

분석 중에 팔로알토는 세 번째 공격 캠페인을 발견할 수 있었는데, 미라이와 관련된 멀웨어가 아니라 가프짓 소스코드에서 구축된 것으로 보이는 멀웨어가 사용되고 있었다. 그러므로 코드 내에는 레이어7 디도스 공격 기능이 포함되어 있었다고 한다(SendHTTPCloudflare). 위에 언급한 옴니 공격을 통해 발견된 모든 익스플로잇이 포함되어 있었으며, 두 번째 발견된 공격의 브루트포싱 공격 기능도 덧붙어있었다. 차이점은 디링크의 DSL-2750B OS 명령어 주입 익스플로잇이 추가되었다는 것이다.

위의 세 가지 공격은 주로 SOHO 네트워크 장비 소유자들에게 치명적으로 작용하고 있다고 한다. 특히 다산과 디링크의 제품 소유자들 사이에서 피해자가 나오고 있다고 보안 업체 이센타이어(eSentire)가 경고했다. 이센타이어는 이번 공격들에 연루된 IP 주소가 3000개에 달한다고 밝혔다. “하지만 한 개의 명령 진원지로부터 나온 것입니다.”

팔로알토 네트웍스는 “이제 사이버 공격자들은 다양한 기기들로 구성된 봇넷을 마련하고 통제하는 데에 굉장히 능숙해졌다”고 짚는다. “이것에 동반되는 현상은, 새롭게 공개된 취약점들이 빠르게 익스플로잇 된다는 것으로, 취약점 정보를 대하는 공격자와 방어자들 사이에 간극이 존재한다는 점이 부각되고 있습니다. 사물인터넷 장비에서 발견되는 각종 취약점들을 해결하기 위한 보안 커뮤니티의 노력이 부족하다는 건 아니지만, 결과물이 좀 더 빨리 나와야 할 필요가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>