BCMPUPnP_Hunter라는 봇넷, 브로드컴 UPnP 취약점 익스플로잇
공격 성공 후 유명 이메일 서버와의 통신 시작...스팸 메일 뿌리기 위함

[보안뉴스 문가용 기자] 새로운 봇넷이 발견됐다. 스팸 이메일을 보내는 것을 주목적으로 하는 것으로 보이며, 현재까지 약 40만 대의 기기와 장비들을 감염시키는 데 성공했다고 한다. 보안 업체인 치후360(Qihoo 360)의 360 넷랩(360 Netlab)이 이에 대해 발표했다.


이 봇넷의 이름은 BCMPUPnP_Hunter인데, 주로 브로드컴의 UPnP 기능이 활성화 된 라우터들을 표적으로 삼는다고 한다. 지난 9월에 처음 등장하기 시작했지만, 봇넷과 감염된 장비(혹은 감염될 장비) 사이의 통신 및 상호작용이 다단계로 발생해서 이제야 샘플을 확보할 수 있었다고 한다.

360 넷랩에 따르면 이 ‘상호작용’이라는 것은 다음과 같은 내용으로 구성되어 있다.
1) tcp 포트 5431번을 통한 스캐닝
2) 표적의 UDP 포트 1900번의 확인
3) 취약한 URL 기다리기
4) 네 번의 패킷 교환 후 메모리 내 셸코드의 실행 시작 주소 파악
5) 본격 익스플로잇 배포 시작

공격이 성공하면 프록시 네트워크가 구축된다. 그리고 아웃룩이나 핫메일, 야후 메일처럼 유명한 메일 서버들과의 통신을 시작한다. 목적은 스팸 메일 발송이다.

지난 한 달 동안은 스캔 활동이 발생하는 IP 주소가 약 10만 개 선에 머물렀었다. 특이한 점이 있다면 2주 전쯤 2만 밑으로 잠깐 떨어졌다는 것 정도다. 그 후에는 1~3일 주기로 증가 추세를 보이더니, 다시 10만을 다시 찍었다. 이런 IP 주소들을 전부 수집해 목록을 만들었더니 337만 개가 모였다. 그렇다고 공격자들이 337만 개의 장비를 공격했다는 건 아니다. 일부 장비들이 IP 주소를 바꾸면서 접속하기 때문에 이렇게 숫자가 커진 것이라고 넷랩 측은 보고 있다.

또한 이 스캐닝 공격을 분석함으로써 360 넷랩은 116개 유형의 장비 정보를 취득할 수 있었다. 그러면서 대략 전 세계 곳곳의 장비 40만대 정도를 감염시킨 것 같다는 추정치를 얻어낼 수 있었다. 인도와 미국, 중국에서 가장 많은 피해가 발생했다.

샘플을 분석했더니 셸코드와 본체로 구성되어 있는 것을 알 수 있었다. 셸코드의 경우, 본체를 다운로드 받아 실행하는 목적을 위해 특별히 만들어졌으며, “굉장히 실력이 좋은 개발자의 작품으로 보인다.”

본체는 1) 브로드컴 UPnP 취약점에 대한 익스플로잇과 2) 프록시 접근 네트워크 모듈로 구성되어 있으며, 네 개의 명령 코드들을 C&C 서버로부터 받아 실행할 수 있다고 한다. 이 네 개의 명령 코드는 1) 실제 기능이 없는 최초 패킷 생성, 2) 취약한 공격 대상을 검색, 3) 현재 진행되는 작업 삭제, 4) 프록시 서비스 시작이다.

“결국 이 봇넷의 가장 주된 목적은 잘 알려진 메일 서비스의 서버들을 사용해 트래픽을 다른 곳으로 돌리는 것입니다. 연결을 TCP 포트 25번을 통해서만 일어나는데, 이 포트는 SMTP 프로토콜을 위한 것이죠. 즉 이메일용 포트라는 겁니다. 왜 이메일 연결만을 하고, 이메일 서버들과 프록시 연결을 하는 걸까요? 이 봇넷의 목적이 스팸 메일 뿌리는 것이기 때문입니다. 그것이 이 봇넷의 유일한 목적이라고 봅니다.”

3줄 요약
1. 새로운 봇넷 출현. 이름은 BCMPUPnP_Hunter.
2. 유명 이메일 서버의 트래픽에 대한 공격 기능만 가지고 있음.
3. 따라서 이 봇넷의 목적은 스팸 메일을 뿌리는 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>