Mirai 악성코드 변종 발견

개요

 

Dr.Web社, Mirai 악성코드 변종 발견

     - Mirai 악성코드는 최근 더 많은 장치를 감염시키기 위해 Windows용으로 만들어져 확산되고 있음

         ※ Mirai : Linux 기반의 시스템을 원격으로 제어하는 악성코드로, IoT 기기를 감염시켜 DDoS에 공격 시 활용됨

     - 이 변종은 Dr.Web社에서 Trojan.Mirai.1라고 명명하였으며, 라우터 및 DVR과 CCTV 시스템 등을 겨냥하고 있음

주요내용

 

Trojan.Mirai.1 특징

      - Windows를 감염시키기 위해 C++ 언어로 개발된 트로이목마 형태의 악성코드

      - Windows 컴퓨터가 Trojan.Mirai.1에 감염되면, C&C서버에 연결하여 설정파일(wpd.dat)을 

        다운로드 하고 IP주소 범위가 포함된  파일을 추출한 후 포트를 스캔

            ※ 기존 Mirai리눅스 악성코드와는 다르게 Trojan.Mirai.1은 더 많은 TCP포트를 스캔 

      - Trojan.Mirai.1의 새로운 감염 기기가 Window 기반일 경우 자신과 같은 악성코드를 복사시키고, 

        Linux 기반일 경우 기기에 기존 Linux.Mirai 악성코드를 다운로드하고 실행함

시사점

기존 Mirai 보다 Trojan.Mirai.1는 침투 방법이 발전하였고, 더 많은 포트 스캐닝을 통해 많은 기기들을 감염시킬 수 있어 

파급력이 높음

Mirai는 역사상 가장 큰 규모의 DDoS공격을 가능하게 했던 악성코드이며, 현재 소스코드가 공개되어 더 많은 

변종이 만들어질 가능성이 높아 IoT 기기 보안에 각별한 주의가 필요

[출처]

1. The Hacker News, “New Windows Trojan Spreads MIRAI Malware To Hack More IoT Devices”, 2017.2.9.

2. SecurityIntelligence, “Mirai Malware Leverages Windows”, 2017.2.9.

3. HackRead, “After Linux; Mirai Botnet is Available for Windows”, 2017.2.10