Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향D-link, IoT 기기들이 Tor 기반의 변형된 Gafgyt에 공격받고 있다
작성일 2021-03-08 조회 688

NetLab 360 연구원들은 Gafgyt 봇넷의 새로운 변종은 Tor 기반으로 된 첫번째 변종으로 D-Link와 IoT 기기들을 표적으로 활발히 공격하고 있음을 밝혔다. 

 

2014년에 발견된 이 악성코드는 DDoS 공격에 사용되는 것으로 알려졌다. 올해 2월 15일에 Gafgyt_tor로 변종되어 공격에 이용되고 있다. 탐지를 피하기 위해서 Tor를 사용하여 명령 및 제어 통신을 숨기고 데이터 상에서 민감한 문자열을 암호화 한다.. Tor를 기반으로 한 악성코드들은 기존에도 많이 존재했으나 Gafgyt가 변형되어 Tor를 이용한 익명 네트워크를 활용하는 것은 처음이라고 연구원들은 말했다.

 

연구원들은 Tor 프록시 기능을 추가로 인해 Gafgyt_tor의 코드 구조가 기존 주고에 비해 광범위한 변화를 보여주고 있다고 말했다. "C2(C&C) 연결을 설정하는 원래의 initConnection() 함수는 사라지고 그 부분이 Tor 연결을 설정하는 코드로 대체되었다." 라고 말했다.

 

 

 

[그림 1. Gafgyt의 이전 코드와 변형된 코드]

 

[그림 1]을 보면 큰 코드 섹션에는 IP 주소와 포트로 프록시 노드 목록을 초기화하는 기능인 tor_socket-_init()함수가 있다. 연구원들은 이러한 방식으로100개 이상의 Tor 프록시를 구축할 수 있으며 새로운 샘플이 지속적으로 프록시 목록을 업데이트하고 있다고 말했다. 

 

프록시 목록을 초기화 한 후 샘플은 목록에서 임의의 노드를 선택하여 tor_retrive_addr 및 tor_retrive_port를 통해 Tor 통신을 활성화 한다. Tor 통신을 통해 C2와 연결을 설정한 후 봇넷은 다크 넷을 통해 다음 명령을 기다린다. 

 

"Gafgyt_tor의 핵심 기능은 여전히 DDoS 공격 및 스캔으로 일반적인 Gafgyt의 공격 방향을 따른다. 이것은 LDSERVER라는 새로운 지시문이 봇넷에 추가되었는데 이것을 통해 C2가 payload가 다운되는 서버를 신속하게 지정할 수 있다"  "이를 통해 공격자가 소유한 다운로드 서버가 식별되고 차단 될 경우 공격자가 신속하게 다른 다운로드 서버로 전환이 가능하다"라고 연구원들을 말했다.

 

NetLab 연구원들은 이 변종이 keksec group이라고 부르던 위협 그룹에 의해 배포된 Gafgyt 샘플들과 동일한 기원을 가지고 있으며 이 keksec 그룹이 Tsunami 봇넷과 1월에 발견된 다른 Necro 봇넷에서 사용되던 코드와 IP주소를 재사용한다고 말했다. 

 

"Gafgyt_tor와 Necro는 IP 주소 Pool과 여러 봇넷 소스 코드를 가지고 있고 지속적인 개발 능력이 있는 동일한 그룹의 사람들에 의해 운영될 가능성이 높다. 실제 운영에서는 서로 다른 봇넷 계열을 형성하지만 IP주소와 같은 인프라를 재사용한다" 라고 연구원들을 밝혔다. 

 

Gafgyt_tor은 널리 알려진 봇넷에서 가장 최근에 변종된 봇넷이다. 2019년에 연구원들은 이미 취약한 IoT 기기들을 봇넷에 추가하여 전 세계 게임 서버를 손상시키는 Gafgyt 변종에 대해 경고한 바가 있다. 2018년에 연구원들은 Apachce Struts 및 Sonic Wall에서 잘 알려진 취약점을 대상으로 공격하는 Mirai Gafgyt_IoT 봇넷이 발견했다. 더 최근엔 2020년에 Gafgyt 제품군의 변형으로 Hoaxcalls라는 봇넷을 발견했다. DDoS 공격하는 이 봇넷은 ZyXEL Cloud CNM SecManager에 영향을 주는 패치되지 않은 취약점을 이용하여 확산되고 있음을 밝혔다.

 

출처

https://threatpost.com/d-link-iot-tor-gafgyt-variant/164529/

첨부파일 첨부파일이 없습니다.
태그 Gafgyt  keksec