2024-03-29 00:00 (금)
미라이 변종보다 월등한 수준의 새로운 IoT 봇넷 발견돼
상태바
미라이 변종보다 월등한 수준의 새로운 IoT 봇넷 발견돼
  • 길민권 기자
  • 승인 2018.09.30 13:35
이 기사를 공유합니다

aa-2.jpg
어베스트 보안 연구원들이 미라이(Mirai) 변종보다 우월한 수준의 새로운 IoT 봇넷 '토리(Torii)'를 발견했다.

이 봇넷의 개발자들은 CPU 아키텍쳐 다수용 바이너리를 제작해 스텔스 및 지속성을 위해 악성코드를 조정했다. C&C 서버와의 통신은 암호화 되었으며, 추출 및 명령 실행 등의 기능을 포함하고 있다.

어베스트(Avast)의 연구원들에 따르면, 이 악성코드는 지난 2017년 12월부터 활동해왔으며 MIPS, ARM, x86, x64, PowerPC, SuperH 등의 CPU 아키텍쳐 기기들을 노린다고 밝혔다.

미라이 기반의 위협들 사이에서 멀티 플랫폼 지원은 흔한 것이지만, 연구원들은 토리(Torii)가 지금까지 본 것들 중에 가장 큰 아키텍쳐 세트를 지원하는 봇넷 중 하나라 밝혔다.

유명한 보안 연구원인 Dr. Vesselin Bontchev는 그의 텔넷 허니팟에서 이 악성코드의 샘플을 발견했다. 그는 텔넷 통신을 위한 포트 23을 통해 공격 받았음을 발견했지만, 이 통신은 토르(Tor) 네트워크를 통해 터널링 되어 있었다고 밝혔다.

Torii는 Telnet이 노출 되어 있거나 취약한 계정을 사용하는 시스템을 노린다. 이는 기기의 아키텍쳐를 알아내는 정교한 스크립트를 실행하고 바이너리 페이로드를 전달하기 위해 'wget,' 'ftpget,' 'ftp,' 'busybox wget,', 'busybox ftpget' 등의 명령어를 사용한다.

이 스크립트는 다음으로 기기의 아키텍쳐를 위한 1단계 페이로드를 다운로드한다. 이는 지속성을 가지며, 2단계 페이로드를 위한 드롭퍼일 뿐이다.

Torii는 VPNFilter와 Hide and Seek에 이어 감염 된 기기에서 지속성을 얻는 세 번째 IoT 봇넷이다. 즉, Torii는 시스템 재부팅 후에도 살아 남으며, 펌웨어를 디폴트 구성으로 리셋하여 제거할 수 있다는 것이다.

연구원들은 “이는 파일이 기기에서 유지되고, 항상 실행 되도록 하기 위해 최소 6가지 방법을 사용한다. 이들 중 하나만 실행하는 것이 아니라, 이들 모두를 실행한다.” 6가지 방법은 아래와 같다.

1) ~.bashrc에 주입한 코드를 통한 자동 실행
2) Crontab에 “@reboot”를 통한 자동 실행
3) Systemd를 통해 “System Daemon” 서비스로써 자동 실행
4) /etc/init와 PATH를 통한 자동 실행
5) SELinux 정책 관리를 수정해 자동 실행
6) /etc/inittab를 통한 자동 실행

C2 서버로의 트래픽은 암호화 되며 TLS 특정 포트 443을 통해 전달 되지만, 이 악성코드는 TLS 프로토콜을 사용하지 않는다.

악성코드가 호스트네임, 프로세스 ID, mac 주소 및 시스템 관련 정보를 추출해내기 때문에 이러한 방식으로 교환 된 정보는 기기의 정보를 인식하는데 도움을 준다.

이스트시큐리티 측은 "대부분의 IoT 봇넷의 목적은 DDoS 또는 가상 화폐 채굴이지만, Torii는 아직까지는 이러한 의도를 보이고 있지 않는다"며 "하지만 이 봇넷은 감염 기기에서 어떠한 명령어도 실행이 가능하기 때문에 가능성은 매우 다양하다. 또한 GOP 언어로 작성 되어 다양한 기기 배열을 위해 재컴파일 될 수 있다"고 설명했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#봇넷