|
허니팟을 배포하는 새로운 ZHtrap 봇넷 악성 코드 침해사고분석팀 2021.03.16 |
|
|
감염된 라우터, DVR 및 UPnP 네트워크 장치를 사냥하여 다른 감염 대상을 찾는데 도움이되는 허니팟으로 변환하는 새로운 봇넷이 발견되었다.
이를 발견 한 360 Netlab 보안 연구원이 ZHtrap 이라고 명명한 이 악성 코드는 Mirai의 소스 코드를 기반으로하며 x86, ARM, MIPS 및 기타 CPU 아키텍처를 지원한다.
일단 장치를 점령하면 이미 실행중인 시스템 프로세스만 허용하는 화이트리스트를 통해 다른 맬웨어가 봇을 재감염하지 못하도록 차단하고 새 명령을 실행하려는 모든 시도를 차단한다.
ZHtrap 봇은 Tor명령 및 제어(C2)서버를 사용하여 다른 봇넷 노드와 통신하고 Tor프록시를 사용하여 악성 트래픽을 숨긴다.
[그림1. 사용된 Tor 프록시 리스트]
봇넷의 주요 기능에는 DDoS 공격과 감염될 취약한 장치에 대한 스캔이 포함된다.
그러나 운영자가 추가 악성 페이로드를 다운로드하고 실행할 수 있는 백도어 기능도 함께 제공된다.
전파하기 위해 ZHtrap은 Realtek SDK Miniigd UPnP SOAP 엔드 포인트, MVPower DVR, Netgear DGN1000 및 긴 목록의 CCTV-DVR 장치에서 N-day 보안 취약점 4개를 대상으로하는 익스플로잇을 사용한다.
또한 무작위로 생성된 IP주소 목록에서 약한 Telnet 암호를 가진 장치를 검색하고 허니팟을 이용해 이미 봇넷에 포함된 장치를 장악한다.
 [그림2. ZHtrap 프로세스 다이어그램]
ZHtrap의 가장 흥미로운 기능은 감염된 장치를 허니팟으로 전환하여 전파 방법에 취약하거나 이미 다른 맬웨어에 감염되었을 가능성이 있는 더 많은 대상의 IP 주소를 수집하는 방법이다.
일단 배포되면 ZHtrap의 허니팟은 23개의 포트 목록을 수신하기 시작하고 공격의 잠재적인 대상으로 해당 포트에 연결된 모든 IP를 스캐닝 모듈로 보낸다.
[그림3. ZHtrap 스캐닝 프로세스]
360 Netlab은 "이전에 분석한 다른 봇넷과 비교할 때 ZHtrap의 가장 흥미로운 부분은 감염된 장치를 허니팟으로 전환하는 기능입니다. "라고 말했다.
허니팟은 일반적으로 보안 연구원이 스캔, 익스플로잇 및 샘플 수집과 같은 공격을 캡처하는 도구로 사용된다.
"하지만 이번에는 ZHtrap이 스캐닝 IP 수집 모듈을 통합하여 유사한 기술을 사용하고 수집된 IP가 자체 스캐닝 모듈에서 대상으로 사용된다는 사실을 발견했습니다."라고 덧붙였다.
360 Netlab 연구원들은 또한 최근에 취약한 Jenkins 및 ElasticSearch 서버를 감염시켜 모네로(XMR) 암호 화폐를 채굴하려고 시도하는 업그레이드된 버전의 z0Miner 크립토 마이닝 봇넷을 발견했다.
출처 https://www.bleepingcomputer.com/news/security/new-zhtrap-botnet-malware-deploys-honeypots-to-find-more-targets/ |
