Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[공격은, 지금] Mirai 봇넷의 리뉴얼과 CVE-2020-5722
작성일 2020-04-13 조회 333

 

 

 

 

 

'공격은, 지금' 은 윈스 허니팟에 탐지된

실시간 취약점 및 악성코드를 소개하는 컨텐츠 입니다 :)

 

 

2020년 04월 13일 기준으로 탐지된

따끈한 공격을 기반으로 작성되었습니다 :)

 

 

 

 

 

 

 

빠르게 변해가는 현 시기에 단 하루만 지나도 옛 것이 되어버리곤 합니다. 하지만 과거에 사용되었던 기술을 다양하게 활용하는 직종 중 하나가 바로 '해킹'이라는 생각이 듭니다. 공격 시도나 정보 탈취 등의 노력이 가시적인 것이 아니기 때문에 우리는 대수롭지 않게 넘기며, 업데이트를 그리 중요시 생각하지 않는 모든 사용자를 타겟을 삼는 것이겠지요.

 

 

Mirai Botnet는 변종이라 하더라도 취약점은 대부분이 썼던 것들 재사용하는 방식이어서 취약점 분석가들에게는 그리 흥미롭지만은 않습니다. 하지만 이번에 등장한 Mirai Botnet이 드디어 2020년에 등장한 따끈한 신상 취약점을 탑재하여 등장하였습니다. 

 

 

2020년 3월 초 8089 포트의 비정상적인 세션 활동이 없었지만 3월 중순 8089 Port의 비정상적인 트래픽이 증가하였습니다. 

 

 

 

 

8089 포트로 들어오는 세션의 내부 페이로드는 SQL Injection 과 RCE 명령어가 포함된 페이로드를 가지고 있습니다. 그 외 특이사항으로는 User-Agent를 'XTC' 를 사용한다는 점이었습니다.

 

 

 

 

이상 트래픽이 증가 후 취약점 관련 PoC가 공개되었으며, UCM6202 1.0.18.13 버전에 존재하는 Remote Command Injection 취약점입니다. PoC 코드 내 Port 8089와 URI '/cgi', 그리고 SQL Injection페이로드 'or 1=1--' 등을 확인할 수 있습니다.

 - https://www.exploit-db.com/exploits/48247

 

 

 

 

 

 

감염된 서버의 공통점은 8089 포트가 오픈 되어 있다는 점과, 그 서버들은 lighttpd Server를 사용하고 있다는 사실입니다. 

 

 

 

 

 

상기 취약점을 통해 다운로드 되는 악성코드는 아래와 같으며, 현재 해당 서버는 차단된 상태이므로 언제든지 공격자에 따라 변경될 수 있습니다.

 

파일명: arm7
C2: http://176[.]123[.]3[.]96/arm7
SHA-256: f3c458b7165ab778b62754a7be993adcbdd60bf1798e56bc3c5eb0e9692d9444

 

 

 

 

다운로드 하는 악성코드는 운영체제에 따라 빌드의 차이일 뿐 동일한 기능을 하는 Mirai Botnet입니다. 기존 봇넷과 마찬가지로 전파 기능을 할 수 있도록 다양한 취약점이 포함되어 있습니다. Mirai Botnet의 취약점은 유포 방식 및 시기에 따라 조금씩 변화가 있으며, 해당 Mirai Botnet은 아래와 같은 취약점을 포함하고 있습니다.

 

  * CVE-2020-5722 UCM6202 1.0.18.13 - Remote Command Injection

  * CVE-2020-8515 Multiple DrayTek Products - Pre-authentication Remote Root Code Execution

 

 

 

악성코드 내부에는 각 취약점을 관리하는 함수들이 포함이 되어 있으며, 동작을 전반적으로 컨트롤 할 수 있도록 설계되어 있습니다. 아주 친절(?) 하게 취약점 공격에 사용되는 소프트웨어 이름 'UCM'을 확인할 수 있습니다.

 

 

 

 

 

Mirai Botnet의 '전파' 역할을 수행하기 위해 취약점의 Request 헤더를 악성코드 내 삽입합니다. 이번에 유포되는 봇넷은 앞서 말씀드린 것처럼 User-Agent를 'XTC' 를 확인할 수 있습니다.

 

 

 

 

 

과거의 취약점은 단순히 옛 공격 방식이 아닌 업데이트 하지 않는 수 많은 단말 / 서버 등에 성공적으로 공격이 가능하다는 것을 의미합니다. 항상 사용하는 소프트웨어의 최신 버전을 유지하는 것이 중요합니다.

 

 

 

이 취약점은 또 얼마나 우려먹을지에 대한 기대감과 설레는 취약점을 한동안 보지 못한다는 아쉬움을 남긴채 포스팅을 마치겠습니다.

 

 

 

상기 취약점에 대한 Wins 제품군 패턴은 아래와 같습니다.

 

ㅁ Wins IPS Patterns

 [4272] Grandstream UCM6200 cgi RCE
 [4273] Grandstream UCM6200 cgi RCE.A

 

첨부파일 첨부파일이 없습니다.
태그 Mirai  UCM6202  DrayTek