.gif)
미라이 취약점이 다시 나타났다. 역시 과거에 유출됐던 소스코드를 기반으로 하고 있다. 게다가 취약점을 9개나 익스플로잇 함으로써 증식한다. 디링크, 넷기어, 소닉월 장비 사용자들은 제조사의 패치 발표 상황을 예의주시해야 한다.
[보안뉴스 문가용 기자] 미라이(Mirai) 봇넷의 새로운 변종이 나타났다. 현재 이 변종은 디링크(D-Link), 넷기어(Netgear), 소닉월(SonicWall) 장비들의 취약점을 익스플로잇 하며 퍼져나가는 중이라고 한다. 또한 역대 미라이 변종들이 한 번도 익스플로잇 한 적 없는 취약점들까지 익스플로잇 하는 기능이 탑재되어 위협적이다.
[이미지 = utoimage]
이 변종은 2월 16일부터 6개의 알려진 취약점들과, 3개의 알려지지 않은 취약점들을 표적으로 삼아 익스플로잇 활동을 펼쳐온 것으로 조사됐다. 이 익스플로잇을 허용한 장비들은 미라이 봇넷에 편입됐다. 익스플로잇을 허용한 장비들이라 함은, 취약점 패치가 제대로 이뤄지지 않은 것들을 말한다. 참고로 미라이의 소스코드는 2016년 10월에 공개된 바 있다.
새 변종이 노리는 ‘알려진’ 취약점은 다음과 같다.
1) CVE-2020-25506 : 소닉월 SSL-VPN과 디링크 DNS-320 방화벽의 취약점
2) CVE-2021-27561, CVE-2021-27562 : 이링크(Yealink) 장비 관리자의 취약점
3) CVE-2020-26919 : 넷기어 프로세이프 플러스의 취약점
4) CVE-2021-22502 : 마이크로 포커스 오퍼레이션 브리지 리포터(Micro Focus Operation Bridge Reporter)의 취약점
5) CVE-2019-19356 : 네티스 WF2419 무선 라우터의 취약점
알려지지 않은 취약점들의 경우 아직 분석이 진행되고 있어, 특정 장비들 내에 존재한다는 것 외에는 구체적으로 밝혀진 바가 없다. 그리고 미라이라는 변종의 역사를 봤을 때 이 ‘특정 장비들’은 사물인터넷 장비들을 가능성이 매우 높아 보인다. 세 개 중 두 개는 원격 코드 실행을 유발하는 것으로 알려져 있고 나머지 하나는 명령 주입 취약점의 일종으로 알려져 있다. 이 마지막 명령 주입 취약점은 과거 무봇(Moobot)이라는 봇넷 멀웨어가 익스플로잇 했던 적이 있으나, 당시에도 해당 취약점과 익스플로잇은 제대로 분석되지 않았었다.
이번 미라이의 경우 9가지 취약점 중 한 가지를 성공적으로 익스플로잇 하고 나서는 wget이라는 유틸리티를 활성화시킨다. wget은 웹 서버로부터 콘텐츠를 가져오는 정상 프로그램이다. 공격자들은 이를 이용해 셸스크립트를 추가로 다운로드 받는다. 이 셸스크립트는 또 다른 미라이 바이너리들을 다운로드 받아서 하나씩 차례로 실행한다.
이런 바이너리 중 하나가 lolol.sh이다. 다양한 기능들을 가지고 있는 바이너리인데, 주로 피해자의 장비 내에서 주요 폴더들을 찾아내 지우는 역할을 담당한다. 그 외에 패커 필터 규칙을 설정해 특정 트래픽을 차단한다든지, 자신이 실행되는 시간을 주기적으로 설정하는 기능도 수행할 수 있다. install.sh라는 바이너리의 경우, 여러 가지 파일과 패키지들을 다운로드 한다. 그리고 이를 통해 각종 공격을 야기한다.
최종적으로 다운로드 되는 바이너리는 dark.arch라고 한다. 미라이 소스코드를 기반으로 하고 있으며 ‘증식’을 주 기능으로 하고 있다. 다양한 취약점을 익스플로잇 하거나 약한 크리덴셜을 익스플로잇 하는 방식이 주를 이룬다. 이번 미라이에 대한 상세 내용은 팔로알토 네트웍스의 블로그(https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/)를 통해 열람할 수 있다.
3줄 요약
1. 미라이의 또 다른 변종이 출현. 무려 9가지 취약점을 익스플로잇 함.
2. 9개 익스플로잇 중 3개는 아직까지 알려지거나 공개되지 않은 것들.
3. 사물인터넷 장비들 통해 증식하는 독특한 멀웨어, 소스코드 공개 후 자꾸만 변종 등장.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 미라이(Mirai) 봇넷의 새로운 변종이 나타났다. 현재 이 변종은 디링크(D-Link), 넷기어(Netgear), 소닉월(SonicWall) 장비들의 취약점을 익스플로잇 하며 퍼져나가는 중이라고 한다. 또한 역대 미라이 변종들이 한 번도 익스플로잇 한 적 없는 취약점들까지 익스플로잇 하는 기능이 탑재되어 위협적이다.
[이미지 = utoimage]
이 변종은 2월 16일부터 6개의 알려진 취약점들과, 3개의 알려지지 않은 취약점들을 표적으로 삼아 익스플로잇 활동을 펼쳐온 것으로 조사됐다. 이 익스플로잇을 허용한 장비들은 미라이 봇넷에 편입됐다. 익스플로잇을 허용한 장비들이라 함은, 취약점 패치가 제대로 이뤄지지 않은 것들을 말한다. 참고로 미라이의 소스코드는 2016년 10월에 공개된 바 있다.
새 변종이 노리는 ‘알려진’ 취약점은 다음과 같다.
1) CVE-2020-25506 : 소닉월 SSL-VPN과 디링크 DNS-320 방화벽의 취약점
2) CVE-2021-27561, CVE-2021-27562 : 이링크(Yealink) 장비 관리자의 취약점
3) CVE-2020-26919 : 넷기어 프로세이프 플러스의 취약점
4) CVE-2021-22502 : 마이크로 포커스 오퍼레이션 브리지 리포터(Micro Focus Operation Bridge Reporter)의 취약점
5) CVE-2019-19356 : 네티스 WF2419 무선 라우터의 취약점
알려지지 않은 취약점들의 경우 아직 분석이 진행되고 있어, 특정 장비들 내에 존재한다는 것 외에는 구체적으로 밝혀진 바가 없다. 그리고 미라이라는 변종의 역사를 봤을 때 이 ‘특정 장비들’은 사물인터넷 장비들을 가능성이 매우 높아 보인다. 세 개 중 두 개는 원격 코드 실행을 유발하는 것으로 알려져 있고 나머지 하나는 명령 주입 취약점의 일종으로 알려져 있다. 이 마지막 명령 주입 취약점은 과거 무봇(Moobot)이라는 봇넷 멀웨어가 익스플로잇 했던 적이 있으나, 당시에도 해당 취약점과 익스플로잇은 제대로 분석되지 않았었다.
이번 미라이의 경우 9가지 취약점 중 한 가지를 성공적으로 익스플로잇 하고 나서는 wget이라는 유틸리티를 활성화시킨다. wget은 웹 서버로부터 콘텐츠를 가져오는 정상 프로그램이다. 공격자들은 이를 이용해 셸스크립트를 추가로 다운로드 받는다. 이 셸스크립트는 또 다른 미라이 바이너리들을 다운로드 받아서 하나씩 차례로 실행한다.
이런 바이너리 중 하나가 lolol.sh이다. 다양한 기능들을 가지고 있는 바이너리인데, 주로 피해자의 장비 내에서 주요 폴더들을 찾아내 지우는 역할을 담당한다. 그 외에 패커 필터 규칙을 설정해 특정 트래픽을 차단한다든지, 자신이 실행되는 시간을 주기적으로 설정하는 기능도 수행할 수 있다. install.sh라는 바이너리의 경우, 여러 가지 파일과 패키지들을 다운로드 한다. 그리고 이를 통해 각종 공격을 야기한다.
최종적으로 다운로드 되는 바이너리는 dark.arch라고 한다. 미라이 소스코드를 기반으로 하고 있으며 ‘증식’을 주 기능으로 하고 있다. 다양한 취약점을 익스플로잇 하거나 약한 크리덴셜을 익스플로잇 하는 방식이 주를 이룬다. 이번 미라이에 대한 상세 내용은 팔로알토 네트웍스의 블로그(https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/)를 통해 열람할 수 있다.
3줄 요약
1. 미라이의 또 다른 변종이 출현. 무려 9가지 취약점을 익스플로잇 함.
2. 9개 익스플로잇 중 3개는 아직까지 알려지거나 공개되지 않은 것들.
3. 사물인터넷 장비들 통해 증식하는 독특한 멀웨어, 소스코드 공개 후 자꾸만 변종 등장.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
