2016 년 말 Linux를 탑재 한 IoT 기기를 노리는 "Mirai"( "ELF_MIRAI '제품군으로 검출)에 따르면 대규모'분산 서비스 거부 (DDoS) '공격이 많은 피해를 발생 시켰습니다
이러한 사례는 '사물의 인터넷 (Internet of Things, IoT)'의 에코 시스템이 작동하지 않은 사실을 밝혀했습니다. Mirai는 더욱 확산 범위를 확대 할 수 있도록,
이번에는 Windows PC를 발판으로하는 기능을 도입 해 다시 주목을 받고 있습니다.
"Mirai와 같은 악성 코드를 이용한 DDoS 공격의 증가"를 지적하고 있습니다 만, 이번 입수 한 Windows 용 악성 코드 ( " BKDR_MIRAI.A "로 검색)은 Mirai 같은 기능을 가진 것은 아닙니다.
Mirai 운반자 인 Linux 장비를 찾아 Mirai 본체를 확산시켜 결국 Mirai 봇넷을 확대시키는 것을 목적으로 한 것입니다.
지금까지 Mirai는 특정 범위의 IP 주소에 대해 무력 (무차별) 공격을하고 자신의 봇넷을 확대하고있었습니다. 앞으로는이 " BKDR_MIRAI.A "는 Windows 환경에서도
"Mirai"봇넷이 확대되게됩니다.
" BKDR_MIRAI.A "는 명령 및 제어 (C & C) 서버에 연결하여 스캔하는 IP 주소 목록을받습니다. 시스템에 로그인 할 경우 감염 단말기 및 장비의 운영 체제 (OS)를 확인합니다.
Linux 기기 인 경우는 거기에 악성 코드 Mirai을 만들고 새 봇으로 이용합니다. 기기의 OS가 Windows 인 경우, 악성 코드, 거기에 자신의 복사본을 생성하고 Linux 장치의 탐색을 계속합니다.
악성 코드는 Linux 및 Windows 용의 2 종류의 악성 코드를 작성합니다.
2016 년 8 월에 처음 확인됐다 "Mirai"은 Linux의 펌웨어를 탑재 한 IoT 기기 (라우터, 디지털 비디오 레코더 (DVR), 프린터, 감시 카메라 등)를 대상으로하고있었습니다.
이러한 IoT 기기를 감염시키기 위해 악성 코드는 무작위로 IP를 선택하고 기본 관리 인증 정보를 시도하고 포트 7547과 5555 (TCP / UDP), 23 (Telnet), 22 (SSH)를 통해 장비를 탈취합니다.
Mirai 공격은 소스 코드가 2016 년 10 월에 공개 된 이후 증가하고 있습니다. 대기업 Web 사이트 'Netflix', 'Reddit」, 「Twitter」, 「AirBnB "등의 공격과
독일의 주요 ISP 「Deutsche Telekom (독일 통신업체)'의 90 만대의 가정용 라우터에 영향을 준 사례 는 Mirai 변종이 이용 되고있었습니다.
그림 1 : Windows를 노리는 악성 코드가 포트 스캔 코드
Windows를 노리는 악성 코드는 Linux를 노리는 첫 번째 Mirai보다 많은 포트가 추가되어 있으며, 공격 대상을 최대한 확대하고 있습니다. 악성 코드는 다음 포트가 열려 있는지 여부를 확인합니다.
- 22 (SSH)
- 23 (Telnet)
- 135 (DCE / RPC)
- 445 (Active Directory)
- 1433 (MSSQL)
- 3306 (MySQL)
- 3389 (RDP)
이러한 포트는 전달 된 소프트웨어를 추가하거나 덮어 쓰기 파일 공유 및 원격 단말 관리 등 다양한 이유로 일반적으로 오픈으로 설정되어 있습니다.
악성 코드가 노리는 포트에서 악성 코드, MySQL 및 Microsoft SQL Server 데이터베이스 등 Windows PC에서 사용되는 소프트웨어의 식별 역할도 생각할 수 있습니다. 이 중 하나라고 식별되면 악성 코드는 관리자 권한을 가진 새 사용자를 만듭니다. 구체적으로는, 예를 들어 감염 장비가 Microsoft SQL Server를 사용하면 sysadmin 권한을 가진 데이터베이스 사용자로 "Mssqla"을 만듭니다. 악의적 인 사용자가 관리자 수준의 액세스 권한을 얻음으로써 전체 서버 환경 설정 옵션 변경, 서버 종료, 로그인 정보 및 속성 변경 실행중인 프로세스 종료 BULK INSERT 명령문의 실행 데이터베이스의 작성 · 변경 · 삭제 · 복원 할 수 있습니다.
이 Windows 용 악성 코드는 Mirai의 확산 전용으로 설계되어 있지만, 기능이 확대 될 가능성도 있습니다. 이 악성 코드는 쉽게 다른 악성 코드를 유포하도록 수정하는 것이 가능합니다. 게다가 Windows PC를 노리는 수법은 Mirai 활동 확대에 도움이된다고 말할 수 있습니다.
이 악성 코드는 감염된 기기가 연결된 네트워크의 IoT 기기에 침입에도 이용 될 수 있습니다. 홈 네트워크의 IP 주소는 대개 예측이 가능합니다. 대부분의 가정용 라우터는 192.168.xx IP 주소 공간을 사용하고 있습니다. Windows 용 악성 코드는 악성 코드 C & C 서버에서 IP 주소를 지시하고 C & C 서버는 악성 코드를 보냈다 기기에 로컬 IP 주소 공간을 스캔하도록 명령 할 수 있습니다. 이렇게 네트워크의 기본 암호를 사용하는 모든 IoT 기기가 감염 될 수 있습니다.
'보안칼럼정리' 카테고리의 다른 글
| 법 집행 기관에 의한 「딥 Web '수사 어려운 이유 중 하나는 자금 부족 (0) | 2016.08.06 |
|---|---|
| 국내 인터넷 뱅킹을 노리는 'URSNIF "다시 일본어 메일로 확산 (0) | 2016.07.07 |
| 정보 유출, 크게 보고 결정 내려야… 현업 임원 역할 중요 (0) | 2015.04.23 |
| 공공 무선랜은 '지뢰투성이' ··· 공격 기법과 방어 방안 (0) | 2015.04.17 |
| A10 네트웍스 기고 | 디도스 공격 방어법 ABC (0) | 2015.04.17 |