시만텍 시큐어 웹 게이트웨이, 2015년부터 지원 종료된 레거시 제품...패치 안 한 곳 있어
미라이와 혹스콜즈의 새 변종, 동시에 이 취약점 노려...부지런한 업데이트가 진정한 위협

[보안뉴스 문가용 기자] 미라이(Mirai)와 혹스콜즈(Hoaxcalls) 봇넷 멀웨어의 새로운 변종들이 등장했다. 이들의 공통점은 오래된 시만텍 시큐어 웹 게이트웨이(Symantec Secure Web Gateway)의 원격 토드 실행 취약점을 익스플로잇 하기 시작했다는 것이다. 이에 대해 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 공개했다.


문제의 취약점은 시만텍 시큐어 웹 게이트웨이 5.0.2.8 버전에서 발견된 것으로, 이미 2015년 지원이 종료된 제품이다. 대단히 오래된 ‘레거시’ 제품이므로 업데이트도 존재하지 않는다. 다행히 다른 버전의 펌웨어들에서는 동일한 취약점이 발견되지 않고 있다. 프록시GS(ProxySG)나 웹 시큐리티 서비스(Web Security Services)와 같은 솔루션들도 안전하다.

팔로알토의 전문가들이 제일 먼저 발견한 건 혹스콜즈의 새로운 버전이다. 지난 4월 24일의 일로, “혹스콜즈의 변종이 (위에 언급된) 취약점을 공략하고 있는 것을 알게 됐다”고 한다. 해당 변종은 이전에 발견된 적이 없는, 새로운 것이었다.

팔로알토가 혹스콜즈 변종을 처음 발견했을 때, 혹스콜즈는 취약한 그랜드스트림(Grandstream) 기업용 전화 시스템들과 드라이텍 비고(Draytek Vigor)에서 만든 라우터들을 공략하고 있었다. 몇 주가 지나자 자이젤 클라우드 CNM 시큐매니저(Zyxel Cloud CNM SecuManager)의 취약점들 또한 혹스콜즈의 공격 대상이 되어 있었다.

변종이라고 하지만 오리지널 혹스콜즈와 크게 다른 점은 없다. 트래픽의 프록시 기능, 다운로드 할 수 있는 파일, 원격 지원, 공격 지속성 확보를 위한 명령 몇 개가 추가됐을 뿐이다. 무서운 건, 혹스콜즈가 다양한 디도스 공격을 구사할 수 있다는 것이다. 이에는 다음과 같은 것들이 포함된다.

혹스콜즈가 할 수 있는 디도스 공격 :
1) HTTP 요청 플러드 공격(CONNECTION, OPTIONS, TRACE, DELETE, PUT, POST, HEAD, GET)
2) URG, PSH, ACK, FIN, RTS, SYN, TCP, VSE 플러드 공격

팔로알토 네트웍스는 “혹스콜즈와 미라이의 변종이 나타나고, 미비하더라도 업데이트가 부지런히 이뤄지고 있다는 것에 주목해야 한다”고 강조했다. “지금까지 미라이의 변종이 정말 많이 등장했고, 혹스콜즈도 취약점 기술 세부 사항이 나오면 곧바로 업데이트 됩니다. 배후에 누가 있는지 모르겠지만, 취약점과 익스플로잇에 능숙하며, 부지런히 새로운 것들을 실험하고 적용하는 것이 분명합니다. 앞으로도 이 악의적 부지런함이 사물인터넷 생태계를 위협할 것입니다.”

한편 미라이의 변종이 발견된 건 혹스콜즈가 나타나고서 조금 뒤인 5월 첫 주의 일이라고 한다. 이 변종 역시 시만텍 시큐어 웹 게이트웨이 5.0.2.8을 공격하고 있었다. 오리지널 미라이 코드를 기반으로 만들어졌으며, UPX 기능을 가지고 있는 것으로 나타났다.

하지만 이번 미라이 샘플에서는 디도스 공격 기능이 하나도 발견되지 않았다. 브루트포스 공격을 통해 증식하는 기능만이 강조되어 있는 상태였다고 팔로알토는 전달하고 있다. 이 때문에 팔로알토 측은 “미라이 변종의 배후에 있는 자가 지금은 장비 감염 자체에만 집중하고 있고, 이를 통해 봇넷의 규모를 키우려는 것으로 보인다”고 분석한다.

3줄 요약
1. 봇넷 멀웨어인 미라이와 혹스콜즈의 새로운 변종 등장.
2. 개발사 지원 종료된 시만텍 시큐어 웹 게이트웨이 5.0.2.8의 취약점을 익스플로잇 함.
3. 혹스콜즈는 각종 디도스 공격 기능 가지고 있고, 미라이는 현재 증식 자체에만 집중하는 모습.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>