'공격은, 지금' 은 윈스 허니팟에 탐지된

실시간 취약점 및 악성코드를 소개하는 컨텐츠 입니다 :)

 

 

 

 

빠르게 변해가는 현 시기에 단 하루만 지나도 옛 것이 되어버리곤 합니다. 하지만 과거에 사용되었던 기술을 다양하게 활용하는 직종 중 하나가 바로 '해킹'이라는 생각이 듭니다. 공격 시도나 정보 탈취 등의 노력이 가시적인 것이 아니기 때문에 우리는 대수롭지 않게 넘기며, 업데이트를 그리 중요시 생각하지 않는 모든 사용자를 타겟을 삼는 것이겠지요.

 

 

오늘 소개해드릴 취약점 공격은 현 시점에 최대 Botnet 중 하나인 Mirai에 대해 소개해보려 합니다. 과거 윈스 뿐 아니라 많은 보안사들이 다양하게 다룬 Botnet입니다.

 

   [관련링크] 최신 Mirai 개발자와 연관된 해킹그룹 Lizard Squard 캠패인 분석

   [관련링크] 최신 취약점으로 무장한 IOT/Linux 봇넷

   [관련링크] 20종 이상의 IoT 취약점을 이용한 Mirai 변종 국내 활동

   [관련링크] [공격은, 지금] D-Link 취약점과 Mirai Botnet 악성코드

   [관련링크] [공격은, 지금] Netcore 취약점과 Mirai Botnet 악성코드

 

 

Mirai Botnet은 다양한 원격코드실행 취약점을 탑재하여 유포하며, 감염 이후 추가 네트워크를 전파하는 역할을 수행합니다. 그 중 최근에 탑재된 Comtrend 취약점은 윈스의 허니넷에서 탐지된 공격 중 하나이며, 현 시점 (20년 07월 10일 기준) 에서도 활발하게 공격이 이루어지고 있는 취약점입니다. 

 

[그림] 허니팟 내 탐지된 Mirai Botnet

 

현재 유포되고 있는 Mirai Botnet은 2018년 7월부터 등장한 Botnet에서부터 지금까지 동일한 취약점을 사용하고 있으며, 악성코드 내 포함되어 있는 취약점은 총 세 가지 입니다. 기존 공개되어 있던 취약점을 조금 응용하여 전달하지만 기존 방식과는 크게 다르지 않습니다.

 

 

 

ㅁ Comtrend Vr-3033 Firmware - OS Command Injection (CVE-2020-10173)

[그림] Comtrend 취약점 요청 헤더

 

 

ㅁ Netlink GPON Router - Shell Command Execution

[그림] Netlink 취약점 요청 헤더

 

 

ㅁ Realtek SDK - Miniigd UPnP SOAP Command Execution (CVE-2014-8361)

[그림] Realtek 취약점 요청 헤더

 

 

 

2020년 07월 10일 VirusTotal 기준 최초 등록되었고, 발견 당시 서버가 살아있는 것을 확인하였습니다.

 

 

 

Mirai Botnet 악성코드는 감염 이후 동일한 취약점으로 타 네트워크를 감염시키는 Request Header가 삽입되어 있으며, 감염시킨 취약점과 동일한 문자열을 확인할 수 있습니다. 이렇게 취약점을 통해 감염된 단말이 추가 감염을 낳고, 이런 과정들이 반복되다 보니 Mirai Botnet이 세계에서 손 꼽히는 Botnet으로 성장할 수 있지 않았나 생각이 듭니다.

 

 

 

 

과거의 취약점은 단순히 옛 공격 방식이 아닌 업데이트 하지 않는 수 많은 단말 / 서버 등에 성공적으로 공격이 가능하다는 것을 의미합니다. 항상 사용하는 소프트웨어의 최신 버전을 유지하는 것이 중요합니다.

 

상기 취약점에 대한 Wins 제품군 패턴은 아래와 같습니다.

 

 

ㅁ Comtrend Vr-3033 Firmware - OS Command Injection (CVE-2020-10173)

 

 

ㅁ Gpon Command Execution (CVE-2018-10562)

 

 

ㅁ Realtek SDK - Miniigd UPnP SOAP Command Execution (CVE-2014-8361)

 

 

ㅁ IPs

165[.]227[.]54[.]195

 

 

ㅁ IoCs