2024-03-19 12:52 (화)
IoT 기기 수 천대 무력화 시키는 Silex 악성코드 발견돼
상태바
IoT 기기 수 천대 무력화 시키는 Silex 악성코드 발견돼
  • 길민권 기자
  • 승인 2019.07.01 16:36
이 기사를 공유합니다

cyber-security-3480163_640.jpg
아카마이(Akamai) 연구원인 래리 캐쉬돌러(Larry Cashdollar)가 단 몇 시간 만에 IoT 기기 수천 대를 무력화 시킬 수 있는 새로운 Silex 악성코드에 대해 경고했다.

외신에 따르면, 이 악성코드는 점점 심각한 상황을 초래하고 있는 것으로 나타났다. 해당 연구원은 Silex 악성코드가 시스템을 멈추기 전 감염된 기기의 저장 공간을 파괴하고, 방화벽 규칙 및 네트워크 구성을 삭제한다고 설명했다.

악성코드에 감염된 기기를 복구하는 방법은 기기의 펌웨어를 수동으로 재설치하는 방법뿐이다. Silex가 이러한 아성 행위를 하는 첫 번째 IoT 악성코드는 아니다. 지난 2017년, BrickerBot은 전 세계 수백만 대의 기기를 무력화시켰다.

전문가들은 이번 공격은 여전히 진행 중이며 악성 행위는 날이 갈수록 더 심각해질 것이라고 경고했다. Ankit Anubhav 연구원은 공격자 추적 결과, 이 봇은 감염된 IoT 기기들을 벽돌화하기 위해 개발된 것이라 밝혔다.

또한 Anubhav는 Silex 악성코드 제작자가 온라인 필명 Light Leafon을 사용하는 10대라 추측했다. 이 제작자는 과거 ITO IoT 봇넷을 제작한 경험이 있다. Cashdollar에 따르면, Silex 악성코드는 로그인을 시도하고 악성 행위를 하기 위해 알려진 IoT 기기용 디폴트 크리덴셜들의 목록을 사용한다.

이 악성코드는 발견하는 마운트된 저장 장치마다 "/dev/random"에서 가져온 랜덤 데이터를 기록한다. 그리고 기기를 중지시키거나 재부팅 하기 전 네트워크 세팅 및 기기 내 모든 데이터를 삭제하고, iptable 항목들을 플러시한다.

이 IoT 악성코드는 기본 로그인 크리덴셜을 사용해 모든 유닉스 계열 시스템을 노린다. Cashdollar는 유닉스 계열 OS를 실행하는 모든 아키텍처를 공격하기 위해 이 악성코드가 Bash 쉘 버전을 악용한다고 밝혔다.

또한 잘 알려진 크리덴셜을 사용하는 텔넷 포트를 오픈해 둔 리눅스 서버를 벽돌화할 수도 있다. 공격에서 사용하는 IP 주소는 이란에서 운영되는 novinvps.com이 소유한 VPS 서버에서 호스팅되는 것으로 나타났다.

Ankit Anubha에 따르면, 이 악성코드 개발자는 HITO 봇넷을 완전히 포기한 상태이며, Silex에 더욱 SSH 하이재킹, 익스플로잇 등 파괴적인 기능을 추가할 계획이라 밝혔습니다.

현재 알약에서는 해당 악성코드에 대해 'Backdoor.Linux.Bot.Silex, Backdoor.Linux.Bricker' 으로 탐지 중에 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★