Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보IoT기기를 이용한 Mirai 봇 Windows 변종 발견
작성일 2017-02-23 조회 1613

 

지난 2016년 10월 21일 DNS 서비스 제공업체 다인(Dyn)이 대규모 DDoS(Distributed Denial of Service, 분산서비스거부) 공격을 받아 트위터(Twitter), 넷플릭스(Netflix), 뉴욕타임즈(The NewYork Times, NYT) 등 총 76개의 사이트가 일제히 마비되거나 서비스가 지연되는 사건이 발생한 바 있다.

 

국내에서도 Mirai 악성코드에 의한 피해가 발생하였는데 2016년 9월경 국내 ISP의 국제 관문 망에서 해외 특정 서버로의 트래픽이 과다 발생한 사례이며, 이 사고 역시 Mirai에 감염된 IoT 기기에 의한 DDoS 공격 트래픽으로 확인됐다.

 

최근 윈도우 OS에도 작동하는 변종이 발견됐다. 윈도우용 Mirai 는 DoS 공격 기능이 아닌 전파기능만이 탑재되어 있다.


Win32/Backdoor.Mirai는 IoT 기기만 감염되는 것으로 알려진 Mirai의 윈도우용 변종으로 C&C통신, 악성코드 전파 등을 수행한다.

실행 시 C&C 서버로 접속하고 공격 IP 주소 목록을 얻는다. 이 후 각각 IP들의 열린 포트를 검사한다. 검사하는 포트는 다음과 같다.

 

Telnet 22/TCP
SSH 23/TCP
RPC 135/TCP
SMB 445/TCP
MSSQL 1433/TCP
MySQL 3306/TCP

 

Brute Force 시도 이후 성공시에는 서비스의 종류에 따라 세분화된 동작을 수행한다.
RDP를 제외한 다른 서비스라면 미리 다운받은 설정 파일에 표시된 일련의 악의적인 명령을 실행한다.

 

-추가 악성코드 다운로드
-원격 커맨드 전달
-관리자 권한 탈취
-임의의 쿼리 실행

 

대응방안

 

Sniper-IPS에서는 다음 패턴으로 탐지가 가능하다.

 

[3422] Win32/Backdoor.Mirai.3201536

 

첨부파일 첨부파일이 없습니다.
태그 Mirai  Iot Bot  Windows Bot  DDoS