보안정보

글로벌 정보보안 리더 윈스

[공격은, 지금] D-Link 취약점과 Mirai Botnet 악성코드

침해사고분석팀 2020.03.09

 

 

 

 

 

 

 

'공격은, 지금' 은 윈스 허니팟에 탐지된

실시간 취약점 및 악성코드를 소개하는 컨텐츠 입니다 :)

 

 

 

 


빠르게 변해가는 현 시기에 단 하루만 지나도 옛 것이 되어버리곤 합니다. 하지만 과거에 사용되었던 기술을 다양하게 활용하는 직종 중 하나가 바로 '해킹'이라는 생각이 듭니다. 공격 시도나 정보 탈취 등의 노력이 가시적인 것이 아니기 때문에 우리는 대수롭지 않게 넘기며, 업데이트를 그리 중요시 생각하지 않는 모든 사용자를 타겟을 삼는 것이겠지요.

 

 

오늘 소개해드릴 취약점 공격은 현 시점에 최대 Botnet 중 하나인 Mirai에 대해 소개해보려 합니다. 과거 윈스 뿐 아니라 많은 보안사들이 다양하게 다룬 Botnet입니다.

 

   [관련링크] 최신 Mirai 개발자와 연관된 해킹그룹 Lizard Squard 캠패인 분석

   [관련링크] 최신 취약점으로 무장한 IOT/Linux 봇넷

   [관련링크] 20종 이상의 IoT 취약점을 이용한 Mirai 변종 국내 활동

 

 

 

Mirai Botnet은 다양한 원격코드실행 취약점을 탑재하여 유포하며, 감염 이후 추가 네트워크를 전파하는 역할을 수행합니다. 그 중 가장 많은 사랑을 받고(?) 있는 D-Link 취약점은 윈스의 허니넷에서 탐지된 공격 중 하나이며, 현 시점 (20년 03월 09일 기준) 에서도 활발하게 공격이 이루어지고 있는 취약점입니다. 

 

 

현재 유포되고 있는 Mirai Botnet은 2018년 7월부터 등장한 Botnet에서부터 지금까지 동일한 취약점을 사용하고 있으며, 악성코드 내 포함되어 있는 취약점은 총 세 가지 입니다. 기존 공개되어 있던 취약점을 조금 응용하여 전달하지만 기존 방식과는 크게 다르지 않습니다.

 

 

 

ㅁ D-Link DSL-2750B - OS Command Injection

[그림] D-Link 취약점 요청 헤더

 

 

ㅁ MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution

[그림] MVPower 취약점 요청 헤더

 

 

ㅁ Huawei Router HG532 - Arbitrary Command Execution (CVE-2017-17215)

[그림] Huawei 취약점 요청 헤더

 

 

 

 

상기 취약점을 통해 다운로드 되는 Mirai Botnet은 두 가지로, 2020년 03월 07일 VirusTotal 기준 최초 등록되었습니다.

 

C2: hxxp://45.148.10.194/mips
SHA-256: a36f392a7356712552e181d5fba28af4a7576985abde94c7dd5d7cec616d0001

 

C2: hxxp://45.148.10.194/arm7
SHA-256: ef96e90f0515ff9608e2574f21e5d05698d57ad4c7b48bb3b82d9314f6ca0528

 

 

 

Mirai Botnet 악성코드는 감염 이후 동일한 취약점으로 타 네트워크를 감염시키는 Request Header가 삽입되어 있으며, 감염시킨 취약점과 동일한 문자열을 확인할 수 있습니다. 이렇게 취약점을 통해 감염된 단말이 추가 감염을 낳고, 이런 과정들이 반복되다 보니 Mirai Botnet이 세계에서 손 꼽히는 Botnet으로 성장할 수 있지 않았나 생각이 듭니다.

 

[그림] Mirai Botnet 악성코드

 

 

 

과거의 취약점은 단순히 옛 공격 방식이 아닌 업데이트 하지 않는 수 많은 단말 / 서버 등에 성공적으로 공격이 가능하다는 것을 의미합니다. 항상 사용하는 소프트웨어의 최신 버전을 유지하는 것이 중요합니다.

 

상기 취약점에 대한 Wins 제품군 패턴은 아래와 같습니다.

 

 

ㅁ D-Link DSL-2750B - OS Command Injection

  [4357] D-Link login.cgi OS Command Injection
  [4358] D-Link login.cgi OS Command Injection.A
  [4475] D-Link login.cgi OS Command Injection.B 

 

 

ㅁ MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution

  [4038] MVPower DVR CCTV Shell RCE
  [4474] MVPower DVR CCTV Shell RCE.A

 

 

ㅁ Huawei Router HG532 - Arbitrary Command Execution (CVE-2017-17215)

  [3489] Huawei HG532n defaultcfg.xml Privilege escalation
  [3915] Huawei HG532e DeviceUpgrade Command Injection