[공격은, 지금] D-Link 취약점과 Mirai Botnet 악성코드 침해사고분석팀 2020.03.09 |
|
'공격은, 지금' 은 윈스 허니팟에 탐지된 실시간 취약점 및 악성코드를 소개하는 컨텐츠 입니다 :)
오늘 소개해드릴 취약점 공격은 현 시점에 최대 Botnet 중 하나인 Mirai에 대해 소개해보려 합니다. 과거 윈스 뿐 아니라 많은 보안사들이 다양하게 다룬 Botnet입니다.
[관련링크] 최신 Mirai 개발자와 연관된 해킹그룹 Lizard Squard 캠패인 분석 [관련링크] 최신 취약점으로 무장한 IOT/Linux 봇넷 [관련링크] 20종 이상의 IoT 취약점을 이용한 Mirai 변종 국내 활동
Mirai Botnet은 다양한 원격코드실행 취약점을 탑재하여 유포하며, 감염 이후 추가 네트워크를 전파하는 역할을 수행합니다. 그 중 가장 많은 사랑을 받고(?) 있는 D-Link 취약점은 윈스의 허니넷에서 탐지된 공격 중 하나이며, 현 시점 (20년 03월 09일 기준) 에서도 활발하게 공격이 이루어지고 있는 취약점입니다.
현재 유포되고 있는 Mirai Botnet은 2018년 7월부터 등장한 Botnet에서부터 지금까지 동일한 취약점을 사용하고 있으며, 악성코드 내 포함되어 있는 취약점은 총 세 가지 입니다. 기존 공개되어 있던 취약점을 조금 응용하여 전달하지만 기존 방식과는 크게 다르지 않습니다.
ㅁ D-Link DSL-2750B - OS Command Injection [그림] D-Link 취약점 요청 헤더
ㅁ MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution [그림] MVPower 취약점 요청 헤더
ㅁ Huawei Router HG532 - Arbitrary Command Execution (CVE-2017-17215) [그림] Huawei 취약점 요청 헤더
상기 취약점을 통해 다운로드 되는 Mirai Botnet은 두 가지로, 2020년 03월 07일 VirusTotal 기준 최초 등록되었습니다.
C2: hxxp://45.148.10.194/mips
SHA-256: a36f392a7356712552e181d5fba28af4a7576985abde94c7dd5d7cec616d0001
C2: hxxp://45.148.10.194/arm7
SHA-256: ef96e90f0515ff9608e2574f21e5d05698d57ad4c7b48bb3b82d9314f6ca0528
Mirai Botnet 악성코드는 감염 이후 동일한 취약점으로 타 네트워크를 감염시키는 Request Header가 삽입되어 있으며, 감염시킨 취약점과 동일한 문자열을 확인할 수 있습니다. 이렇게 취약점을 통해 감염된 단말이 추가 감염을 낳고, 이런 과정들이 반복되다 보니 Mirai Botnet이 세계에서 손 꼽히는 Botnet으로 성장할 수 있지 않았나 생각이 듭니다.
[그림] Mirai Botnet 악성코드
과거의 취약점은 단순히 옛 공격 방식이 아닌 업데이트 하지 않는 수 많은 단말 / 서버 등에 성공적으로 공격이 가능하다는 것을 의미합니다. 항상 사용하는 소프트웨어의 최신 버전을 유지하는 것이 중요합니다.
상기 취약점에 대한 Wins 제품군 패턴은 아래와 같습니다.
ㅁ D-Link DSL-2750B - OS Command Injection [4357] D-Link login.cgi OS Command Injection
[4358] D-Link login.cgi OS Command Injection.A
[4475] D-Link login.cgi OS Command Injection.B
ㅁ MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution [4038] MVPower DVR CCTV Shell RCE
[4474] MVPower DVR CCTV Shell RCE.A
ㅁ Huawei Router HG532 - Arbitrary Command Execution (CVE-2017-17215) [3489] Huawei HG532n defaultcfg.xml Privilege escalation
[3915] Huawei HG532e DeviceUpgrade Command Injection
|