미라이 봇넷 멀웨어의 새 변종, 콤트렌드 라우터 공격해
3줄 미리 요약
1. 미라이 봇넷의 새로운 변종, 콤트렌드의 라우터 장비 공격함.
2. 명령 주입 취약점으로, 공격 당한 장비의 네트워크를 침해할 수 있게 해줌.
3. 새로운 취약점을 부지런히 공격 도구에 적용하는 범죄자들, 패치보다 빠름.
사물인터넷 봇넷인 미라이(Mirai)의 새로운 변종이 나타났다. 이 변종은 콤트렌드(Comtrend)에서 만든 라우터들의 취약점을 익스플로잇 하는 기능을 가지고 있는 것이 특징이라고 한다.
[이미지= utoimage]
미라이는 2016년에 처음 발견된 봇넷 멀웨어로, 대규모 디도스 공격을 일으키는 데 사용됐었다. 그 해 10월에 소스코드가 완전 공개된 바 있고, 그 후 각종 아류와 변종들이 등장했다. 그런 흐름은 지금까지도 이어지고 있어 최근에만 해도 소라(SORA), 언스테이블(UNSTABLE), 무카시(Mukashi) 등이 등장했었다.
미라이의 변종들은 기존 버전들에 없던 기능들을 하나씩 특징적으로 가지고 있다. 주로 공략하는 기기들이 다르다던가, 새로운 침투 방법을 탑재했다든가, 최신 취약점 익스플로잇이 업데이트 되었다는 등의 변화들이 있다. 이번에 발견된 버전이 콤트렌드 라우터를 새로이 공략하게 된 것과 마찬가지다.
보안 업체 트렌드 마이크로(Trend Micro)에 의하면 이번 미라이 변종은 콤트렌드 VR-3033 라우터들에서 발견된 CVE-2020-10173을 익스플로잇 하는데, 이 취약점을 익스플로잇 하는 봇넷은 이것이 최초라고 한다.
CVE-2020-10173은 명령 주입 취약점으로, 성공적으로 익스플로잇 되었을 경우 해당 라우터가 연결된 네트워크를 침해할 수 있게 된다고 한다. 개념증명용 코드가 이미 공개된 상태이지만, 이를 공격에 활용한 사례는 현재까지 없었다.
그러나 이번 미라이 변종이 노리는 것이 CVE-2020-10173인 것만은 아니다. 총 9개의 취약점들에 대한 익스플로잇을 내포하고 있는데, 이 중에는 꽤나 최근에 발견된 넷링크 지폰(Netlink GPON) 라우터의 취약점도 포함되어 있다. 즉 공격자들이 최신 취약점 정보를 빠르게 입수해 적용했다는 것이다.
여기서 언급된 넷링크 지폰 라우터의 취약점이란 올해 초에 발견된 원격 코드 실행 취약점이다. 홀스콜즈(Hoaxcalls)라는 봇넷에도 이 취약점의 익스플로잇이 저장되어 있는 게 발견되기도 했었다. 그 외에 이번 변종에는 다음 장비들에 대한 취약점 익스플로잇이 내포되어 있었다.
1) LG 슈퍼사인 EZ CMS(LG SuperSign EZ CMS)
2) 에이비테크(AVTECH) 사의 장비들
3) 디링크(D-Link) 사의 장비들
4) MV파워 DVR(MVPower DVR)
5) 시만텍 웹 게이트웨이(Symantec Web Gateway) 5.0.2.8
6) 씽크PHP(ThinkPHP)
트렌드 마이크로는 이번 미라이 변종에 대한 보고서를 통해 “CVE-2020-10173 취약점이 이번 버전에 활용되었다는 건 봇넷 개발자들이 얼마나 빠르게 최신식 취약점 익스플로잇을 공격에 활용하는가를 나타낸다”고 강조했다. “따라서 어떠한 이유에서든 패치가 이뤄지지 않는다면 공격자들에 의해 뒤쳐질 수밖에 없습니다. 뒤쳐진다는 건 당한다는 것입니다.”
위 게시글에 문제가 있을 시, 삭제하겠습니다.
