Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

취약점 정보

앞 내용 보기 다음 내용 보기
취약점 정보[공격은, 지금] Netcore 취약점과 Mirai Botnet 악성코드
작성일 2020-03-12 조회 2102

 

 

 

 

 

 

'공격은, 지금' 은 윈스 허니팟에 탐지된

실시간 취약점 및 악성코드를 소개하는 컨텐츠 입니다 :)

 

 

2020년 03월 12일 기준으로 탐지된

따끈한 공격을 기반으로 작성되었습니다 :)

 

 

 

 

 

빠르게 변해가는 현 시기에 단 하루만 지나도 옛 것이 되어버리곤 합니다. 하지만 과거에 사용되었던 기술을 다양하게 활용하는 직종 중 하나가 바로 '해킹'이라는 생각이 듭니다. 공격 시도나 정보 탈취 등의 노력이 가시적인 것이 아니기 때문에 우리는 대수롭지 않게 넘기며, 업데이트를 그리 중요시 생각하지 않는 모든 사용자를 타겟을 삼는 것이겠지요.

 

 

2020년 3월 12일 특정 포트의 UDP를 활용한 특이 트래픽이 증가하였습니다.

 

 

 

 

 

공통점으로는 Dst Port 53413을 사용하였는데 Netcore UDP RCE에서 사용하는 포트입니다. 해당 취약점은  2018년 9월에 PoC 가 공개된 취약점입니다.

 - https://github.com/threat9/routersploit/blob/master/routersploit/modules/exploits/routers/netcore/udp_53413_rce.py

 

 

 

 


 

일반적인 쉘 스크립트 다운로드 및 실행 그리고 삭제하는 명령어를 포함한 트래픽이며, 연결되는 페이지에서 2020년 3월 10일 업로드 된 'njdfhalbins.sh' 파일을 다운로드합니다.

 

 

 

 

상기 취약점을 통해 다운로드 되는 쉘코드는 아래와 같으며, 게시글 작성일 기준 VirusTotal 에 등록되지 않은 악성코드입니다.

 

파일명: njdfhalbins.sh
SHA-256: 8539a216444989214aa39086074a3a6dce48e5936b3b332baf96335ecb2f3a4d

 

 

 

다운로드 하는 쉘 스크립트에는 동일 주소에 다양한 악성코드들을 다운로드 및 실행하며, 그 이후 삭제 하는 스크립트가 삽입되어 있으며 자동으로 실행되게 됩니다. 아래의 그림처럼 2018년도 등장한 Botnet에서 사용된 쉘 스크립트이며 현재까지도 악성코드를 다운로드 및 실행하기 위한 스크립트로 자주 사용되고 있습니다.

 

 

 

 

다운로드 하는 악성코드는 운영체제에 따라 빌드의 차이일 뿐 동일한 기능을 하는 Mirai Botnet입니다. 기존 봇넷과 마찬가지로 전파 기능을 할 수 있도록 다양한 취약점이 포함되어 있습니다. Mirai Botnet의 취약점은 유포 방식 및 시기에 따라 조금씩 변화가 있으며, 해당 Mirai Botnet은 아래와 같은 취약점을 포함하고 있습니다.

 

 

악성코드 내부에는 각 취약점을 관리하는 함수들이 포함이 되어 있으며, 동작을 전반적으로 컨트롤 할 수 있도록 설계되어 있습니다. 아주 친절(?) 하게 취약점 공격에 사용되는 GPON / Huawei / Realtek 등의 소프트웨어 이름을 확인할 수 있습니다.

 

 

 

 

Mirai Botnet의 '전파' 역할을 수행하기 위해 취약점의 Request 헤더를 악성코드 내 삽입합니다. 이번에 유포되는 봇넷은 기존 User-Agent와 동일하게 'Hello, World' 사용합니다.

 

 

 

 

악성코드 감염 이후 외부로 전파하는 취약점 및 Request Header는 아래와 같습니다. 이제 조금은 다른 취약점을 사용해주길 바랄만큼 많이 본 Request Header 입니다.

 

 

 

1. Gpon Command Execution (CVE-2018-10562)

 - https://github.com/f3d0x0/GPON/blob/master/gpon_rce.py

 

 

 

2. Huawei Router HG532 - Arbitrary Command Execution (CVE-2017-17215)

 - https://www.exploit-db.com/exploits/43414

 

 

 

3. Realtek SDK - Miniigd UPnP SOAP Command Execution (CVE-2014-8361)

 - https://www.exploit-db.com/exploits/37169

 

 

 

이제 과연 통할까 싶을 만큼 너무나 우려먹는다고 생각이 들지만, 언제 또다시 새로운 취약점을 탑재하여 전파될지 모릅니다. 현재는 2개의 IP에서만 공격이 들어오기 때문에 감염 상황이 그리 크다고는 생각하지 않습니다. 하지만 Mirai Botnet이 여전히 많은 장소와 사람에 의해 공격이 시도되는 것을 보면 주의를 기울이는 것 또한 나쁘지 않을 것 같습니다.

 

 

과거의 취약점은 단순히 옛 공격 방식이 아닌 업데이트 하지 않는 수 많은 단말 / 서버 등에 성공적으로 공격이 가능하다는 것을 의미합니다. 항상 사용하는 소프트웨어의 최신 버전을 유지하는 것이 중요합니다.

 

상기 취약점에 대한 Wins 제품군 패턴은 아래와 같습니다.

 

 

 

ㅁ Gpon Command Execution (CVE-2018-10562)

 [4272] Dasan GPON Routers Authentication Bypass CMD Injection
 [4273] Dasan GPON Routers Authentication Bypass CMD Injection.A
 [4274] Dasan GPON Routers Authentication Bypass CMD Injection.B
 [4275] Dasan GPON Routers Authentication Bypass CMD Injection.C
 [4537] Dasan GPON Routers Authentication Bypass CMD Injection.D
 [4538] Dasan GPON Routers Authentication Bypass CMD Injection.E

 

 

ㅁ Realtek SDK - Miniigd UPnP SOAP Command Execution (CVE-2014-8361)

 [3918] Realtek SDK NewInternalClient RCE
 [4548] Realtek SDK NewInternalClient RCE.A
 [4549] Realtek SDK NewInternalClient RCE.B
 [4808] Realtek SDK NewInternalClient RCE.C
 [4809] Realtek SDK NewInternalClient RCE.D
 [4810] Realtek SDK NewInternalClient RCE.E
 [7080] Realtek SDK NewInternalClient RCE.F

 

 

ㅁ Huawei Router HG532 - Arbitrary Command Execution (CVE-2017-17215)

  [3489] Huawei HG532n defaultcfg.xml Privilege escalation
  [3915] Huawei HG532e DeviceUpgrade Command Injection

 

 

ㅁ IPs

50[.]115[.]168[.]132

104[.]218[.]50[.]88

104[.]244[.]73[.]31

 

ㅁ IoCs 

njdfhalbins.sh 72820743362704060bd62610270cfb2e
mips 16d1353f3e5732cb2d6bfb78026ec065
armv4l e821d75adc82e5a5c059f5202f975879
armv5l 55f6d37ab3294a6351f1730a911aec61
armv6l 90b4962d01b5ef26f7d9ebba91a21141
armv7l a141e85e7a38f924ab6ea7fa19ecb693
i586 7cfcea192548f832d1da6baaef715671
i686 04c8cf2781e34da977381cc61b830ede
m68k ee3e6f7547dadbc41ed3050d53eff7e3
mipsel 4c49bd6a405e7fa367e4d8258f1b9569
powerpc 40083d2291d807a6039aad5d3c4e45a8
sh4 a71c6334b2dd1e98e07c4c5bbf9e86c8
sparc 9f5f51f61e955bf5a4cab214c4c607d2
x86 e328cd1694c8c411185f5af33a6a1cae

 

 

첨부파일 첨부파일이 없습니다.
태그 Netis  MVPower  Huawei  GPON  Mirai