전 세계 기기를 감염시키는 새로운 IoT 악성코드, Linux/IRCTelnet 발견

사물인터넷(IoT)가 점차 강조되가는 세상

악성코드 '미라이(Mirai)'를 동원한 분산서비스거부(DDoS) 공격이 여전히 기승을 부리고 있습니다. 비밀번호 설정을 바꾸지 않고 사용하는 인터넷 공유기나 네트워크 카메라 등(사용이 잦은 기기들) 보안이 허술한 '사물인터넷(IoT) 기기'가 여기에 타겟이 되는상황입니다.미라이와 유사한 악성코드 확산 가능성이 고조됨에 따라 대규모 DDoS 공격의 위험도 커질 전망입니다. 

# Mirai 악성코드 : 수십만 대의 사물 인터넷 디바이스를 감염시켜 대규모 DDoS 공격을 일으킨 트로이목마 프로그램의 소스 코드

이러한 위험 속에서 MalwareMustDie가 대규모 DDoS 공격을 실행하기 위한 봇넷으로 둔갑시키는 새로운 악성코드를 발견했습니다.

Linux/IRCTelnet이라 명명된 이 악성코드는 Mirai 악성코드와 같이 C++로 작성되었습니다. 또한 취약한 리눅스 기반의 IoT 기기를 감염시키기 위해 하드코딩된 디폴트 패스워드를 사용합니다. IRCTelnet 악성코드는 기기의 텔넷 포트를 브루트포싱해 OS를 감염시키고, 이를 IRC를 통해 제어되는 봇넷 네트워크에 추가시키는 방식으로 동작합니다.

그 특성이 라우터, 스마트조명, VCR, 감시카메라 등 IoT 기기의 취약점을 파고들어 작동한다는 점에서 미라이와 유사성이 있었다고 합니다.

따라서 모든 감염된 봇(IoT 기기)들은 악성 IRC 채널에 연결되고, C&C 서버로부터 보내진 명령어를 읽게 됩니다. 연구원들은 봇들을 관리하기 위해 IRC를 사용하는 컨셉이 Kaiten 악성코드로부터 빌려온 것으로 보인다고 밝혔습니다. IRCTelnet 봇넷 악성코드를 개발하는데 사용된 소스코드는 Aidra 봇넷 기반인 것으로 나타났습니다.

이 악성코드는 인터넷에 노출된 텔넷 포트에 브루트포싱 공격을 하기 위해 Mirai 봇넷에서 유출된 취약한 IoT 기기들의 로그인 크리덴셜을 사용했습니다.

IRCTelnet 악성코드는 리눅스 커널 2.6.32 또는 이상 버전을 사용하는 안전하지 않은 기기들을 감염시킵니다. 스캐너는 IPv4를 통한 Telnet만을 찾아 브루트포싱 하도록 프로그램 되었어도 스푸핑된 IPv4 및 IPv6 주소를 통해 DDoS 공격을 실행할 수 있습니다.

연구원들은 블로그 포스트에서 “해당 봇넷은 IPv4 및 IPv6 프로토콜에서, IPv4 및 IPv6에서의 추가 IP 스푸핑 옵션을 포함한 UDP flood, TCP flood 등의 DoS 공격 메커니즘을 사용한다.”고 밝혔습니다. 그들은 악성코드의 소스코드를 분석하던 중, 사용자의 커뮤니케이션 인터페이스에서 하드코딩된 이탈리아어 메시지를 발견했습니다. 이와 관련하여 IRCTelnet 악성코드의 제작자는 이탈리아인인 것으로 추정되고 있습니다.

IRCTelnet 악성코드에 감염된 봇들은 약 3,400대 가량인 것으로 보입니다. 이는 단 5일 만에 3,500개의 봇 클라이언트를 증가시킬 수 있는 역량입니다. 한편, 초기에 IRCTelnet 악성코드를 배포한 IP 주소는 터키, 몰도바, 필리핀에 위치해 있었습니다. 

최신 취약점을 악용하는 대규모의 봇넷들이 구축될 경우, 그와 관련한 많은 피해가 예상됩니다. 최근에 발생한 Dyn에 DDoS 공격을 가하여 주요 웹사이트에 접근할 수 없었던 사고와 프랑스의 ISP와 호스팅 제공자인 OVH에 가해진 기록적인 DDoS 공격 등과 같은 사건들이 향후 더욱 많이 발생할지도 모르겠습니다.

출처 -----------------------------------------

http://blog.alyac.co.kr/

http://www.zdnet.co.kr/