• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

눈 돌린 미라이, 사물인터넷 대신 리눅스 서버 노려 2018.11.22

최근 발견된 변종, 하둡 얀의 임의 셸 명령 실행 취약점 익스플로잇
사물인터넷이 아니라 리눅스 서버 공격...파워풀한 장비 갖춘 공격자들

[보안뉴스 문가용 기자] 보안 업체 넷스카웃(Netscout)의 보안 전문가들이 미라이(Mirai) 봇넷의 근황을 알렸다. 최근에 나타난 버전은 이전에 세상을 떠들썩하게 만들었던 버전이 사물인터넷 장비를 감염시켰던 것과 달리 리눅스 서버들을 공략하고 있었다고 한다. 또한 오리지널 미라이처럼 웜 방식으로 퍼지지도 않는다. 왜냐하면 기존 공격과 달리 ‘표적형’으로 변했기 때문이다.

[이미지 = iclickart]


넷스카웃의 전문가들에 의하면 “최근 나타난 미라이 공격자들이 익스플로잇 하는 취약점은 얼마 전 하둡 얀(Hadoop YARN) 시스템에서 발견되고 공개된 것”이라고 한다. 이 취약점을 익스플로잇 하면 공격자가 원격에서 임의의 셸 명령어를 서버에서 실행할 수 있게 된다. 하둡 얀을 실행하고 있는 서버 대부분은 x86 기반이다.

넷스카웃은 전 세계적인 허니팟 네트워크를 보유하고 있는데, 이를 통해 하둡 얀에서 나타난 취약점에 대한 익스플로잇 시도 현황을 추적해왔다고 한다. 빈도만 보면 하루에도 수십 만 번씩 공격 시도가 발생한다고 한다. 11월에만 하둡 얀 취약점을 통해 배포되거나 혹은 배포가 시도된 악성 페이로드가 225개였다.

20여일이 이제 막 지난 시점에서 배포되고 있었던 225개의 페이로드 중 최소 10~15개는 미라이의 변종들이었다. 넷스카웃이 찾아낸 샘플 하나는 이름이 VPN필터(VPNFilter)였지만, 사실 VPN필터와는 아무런 상관이 없는 페이로드였고, 오히려 미라이에 가까웠다고 한다. VPN필터는 올해 등장한 봇넷으로 가정용 혹은 소규모 사무실용 라우터 50만여 대를 감염시킨 바 있다.

기존 사물인터넷 미라이 멀웨어는 제일 먼저 피해자의 CPU 아키텍처를 분석, 파악하고 그에 맞는 실행파일을 전달했다. “그러나 최근 버전은 x86 기반의 변종만을 전파합니다. 마치 하둡 얀이 돌아가고 있다는 걸 전제하고 공격을 시작하는 것처럼 보이기도 합니다. 즉 작정하고 x86 리눅스 서버만을 공격하는 중인 것이죠. 무차별적으로 대단위 사물인터넷 장비를 공격하던 것과는 큰 차이가 있습니다.”

하지만 그 후에는 비슷하다. “이번 미라이는 리눅스 서버에 일단 발을 들여놓는 데까지 성공하면 기존 사물인터넷 미라이와 비슷하게 행동합니다. 즉 크리덴셜을 무작위로 대입하는 겁니다. 이번에는 텔넷의 사용자 이름과 비밀번호를 계속해서 대입하는 공격을 실시하더군요.”

넷스카웃의 보안 연구 분석가인 매튜 빙(Matthew Bing)은 “이번에 발견된 미라이가 사물인터넷 장비를 감염시켜 어마어마한 디도스 공격을 한 것이 아니라 리눅스 서버들을 노리고 있다는 건 심각한 사안”이라고 말했다. “사물인터넷 공격에 대한 대비를 다 마친 것도 아닌데, 벌써 다른 표적이 생겼다는 건 방어에의 투자를 늘려야 한다는 소리입니다. 전통적으로 조직들의 방어 투자는 유연하지 못했죠.”

그러면서 빙은 “서버는 디도스 공격에 동원하기에 대단히 매력적인 장비”라고 설명했다. “서버가 보유하고 있는 네트워크 속도와 하드웨어 사양을 사물인터넷의 그것과 비교해보세요. 이왕 갖게 된다면 서버가 훨씬 나은 선택이죠. 그 약한 사물인터넷 장비로도 기록에 남는 공격을 한 미라이 봇넷이 서버를 충분히 확보했을 때 무슨 일을 벌일까 걱정됩니다.”

이번 미라이 봇넷 공격의 출처는 여러 국가인 것으로 나타났다. 네트워크도 사방팔방에 퍼져 있고, 겹치는 부분도 거의 존재하지 않는다. “여러 명이나 여러 단체가 이번 공격을 동시에 진행하고 있는 것으로 보입니다. 그들 간의 관계는 아직 알 수가 없는 부분입니다.”

3줄 요약
1. 사물인터넷만 공격하던 봇넷 멀웨어, 미라이. 최근에는 리눅스 서버 공격 시작.
2. 사물인터넷 장비로 무서운 공격했던 자들, 서버 확보한 후 무슨 짓 하려고?
3. 이번 공격과 연루된 취약점은 하둡 얀에서 발견된 임의 셸 명령 실행 취약점.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>