보안정보

연구원들이 Gafgyt Linux 기반 봇넷의 여러 변종이 Mirai 봇넷의 코드를 사용했음을 발견했다.

 

Gafgyt(일명 Bashlite)는 2014년에 처음 발견된 봇넷이다.

 

Huawei 라우터, Realtek 라우터 및 ASUS 장치와 같은 취약한 사물 인터넷(IoT) 장치를 대상으로한 다음 이를 사용하여 대규모 분산 서비스 거부 공격(DDoS)을 수행한다.

 

또한 CVE-2017-17215 및 CVE-2018-10561과 같은 알려진 취약점을 사용하여 감염된 장치에 페이로드를 다운로드한다.

 

새로운 공격과 함께 발표된 Uptycs의 연구에 따르면 최신 변종은 여러 Mirai 기반 모듈을 사용했다.

 

IoT 봇넷의 소스 코드가  2016년 10월에 공개된 이후로 Mirai 변종과 해당 코드 재사용이 늘었다.

 

연구에 따르면 Mirai의 기능에는 DDoS 공격을 수행하는 다양한 방법이 존재한다.

 

* HTTP 플러딩 : 봇넷이 대상 서버에 많은 수의 HTTP 요청을 전송함

* UDP 플러딩 : 봇넷이 대상 서버에 많은 수의 UDP 패킷을 전송함

* TCP 플러딩 : 일반적인 3 방향 TCP 핸드 셰이크를 악용해 피해자 서버가 많은 수의 요청을 수신함

* STD 모듈 : 임의의 문자열(하드 코딩 된 문자열 배열에서)을 특정 IP 주소로 보냄

 

한편, 최신 버전의 Gafgyt에는 IoT 장치를 초기에 탈취하기 위한 새로운 접근 방식이 포함되어 있음이 발견되었다.

 

이것은 감염된 장치를 봇으로 전환하여 나중에 특정 대상 IP 주소에 대해 DDoS 공격을 수행하는 초석이 된다.

 

 

 

[그림1. Telnet 모듈]

 

 

여기에는 Telnet 무차별 대입을 위한 Mirai 모듈과 Huawei, Realtek 및 GPON 장치의 기존 취약점에 대한 추가 익스플로잇이 포함된다.

 

분석에 따르면 Huawei 익스플로잇(CVE-2017-17215)과 Realtek 익스플로잇(CVE-2014-8361)은 모두 원격 코드 실행 (RCE)에 사용되어 Gafgyt 페이로드를 가져오고 다운로드한다.

 

 

 

[그림2. 바이너리]

 

 

Uptycs에 따르면 Gafgyt 악성 코드 바이너리는 Huawei 및 Realtek 라우터에 대한 RCE 익스플로잇을 내장하고 있으며, 이를 통해 'wget'명령을 사용하여 악성 코드 바이너리가 페이로드를 가져온다.

 

GPON 익스플로잇(CVE-2018-10561)은 취약한 Dasan GPON 라우터의 인증 우회에 사용된다.

 

여기서 멀웨어 바이너리는 동일한 프로세스를 따르지만 명령시 페이로드를 제거할 수 있다.

 

Gafgyt와 같은 IoT 봇넷은 지속적으로 진화하고 있다.

 

예를 들어, 지난 3월 연구원들은 Tor 네트워크를 사용하여 활동을 은폐한 것이 Gafgyt 봇넷 제품군의 첫 번째 변종이며 Mirai도 사라지지 않았다고 말한다.

 

최근 패치가 적용되지 않은 D-Link, Netgear 및 SonicWall 장치의 수많은 취약점을 표적으로 삼는 새로운 봇넷 변종이 발견되었다.

 

2월 중순부터 이 변종은 시스템을 감염시키고 봇넷에 추가하기 위해 6개의 알려진 취약점과 이전에 알려지지 않은 3개의 취약점을 표적으로 삼았다.

 

이러한 종류의 봇넷 감염으로부터 보호하기 위해 사용자는 신뢰할 수 없는 바이너리 실행시 발생하는 의심스러운 프로세스, 이벤트 및 네트워크 트래픽을 정기적으로 모니터링해야한다.

 

또한 사용자는 모든 시스템과 펌웨어를 최신 릴리스 및 패치로 업데이트하는 것이 권장된다.

 

 

 

출처

https://threatpost.com/gafgyt-botnet-ddos-mirai/165424/

https://www.uptycs.com/blog/mirai-code-re-use-in-gafgyt