세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
사물인터넷 기기들로 봇넷 만드는 멀웨어 발견
  |  입력 : 2017-12-11 07:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
가짜 도큐사인 문건인 것처럼 메일 보내 로그인 정보 탈취
이번 달은 하루 약 2만번 공격 시도...지난 달에는 하루 4만번


[보안뉴스 문가용 기자] 리눅스 기반의 사물인터넷 기기들로 구성된 봇넷이 현재 세계 여러 웹사이트들을 해킹하고 멀웨어를 뿌리는 데 사용되고 있다고 보안 업체 닥터웹(Doctor Web)의 전문가들이 밝혔다.

[이미지 = iclickart]


이 봇넷을 만들고 있는 멀웨어의 이름은 Linux.ProxyM으로, 올해 2월부터 간간히 발견되던 것이었다. 또한 각종 스팸 캠페인에도 활용되고 있었다. Linux.ProxyM은 일종의 트로이목마로 감염시킨 기기 내에 속스(SOCKS)라는 프록시 서버를 구성해 공격자들이 각종 악성 행위를 할 수 있도록 발판을 마련하는 기능을 가지고 있다.

현재까지 Linux.ProxyM은 다음과 같은 아키텍처를 가진 기기들을 주로 겨냥해 공격해온 것으로 나타났다. 리눅스를 기반으로 한 기기들은 대부분 감염이 가능하다고 볼 수 있다.
1) x86
2) MIPS
3) MIPSEL
4) PowerPC
5) ARM
6) Superh
7) Motorola 68000
8) SPARC

이렇게 기기들을 감염시켜 구성된 봇넷은 스팸 이메일을 보내는 데 주로 활용된다. 각 기기들은 9월 한 달 동안 약 400 통의 이메일을 보낸 것으로 알려졌다. 이메일은 도큐사인(DocuSign)에서 발송한 것처럼 위장되어 있었다.

이메일 내에는 가짜 도큐사인 웹사이트로의 악성 링크가 포함되어 있으며, 사용자는 해당 문건을 열어보기 위해서라면 링크를 클릭해 로그인을 해야 한다고 안내된다. 피해자가 별다른 의심 없이 로그인을 하면 진짜 도큐사인 홈페이지로 우회되며, 여기서 한 번 더 로그인을 해야 한다. 물론 첫 번째 입력한 로그인 정보는 해커들의 손에 넘어간다.

12월부터는 조금 다른 활동들이 감지됐다. Linux.ProxyM의 프록시 서버를 통해 웹사이트들을 해킹하는 공격이 이뤄지고 있는 것이다. 특히 SQL 주입 공격이나 XSS 공격, 로컬 파일 인클루젼(LFI) 공격이 감행되고 있다. 주로 표적이 되고 있는 웹사이트는 게임 서버나 게임 포럼이며, 그 외에도 여러 게임 공략 사이트들도 당하고 있다. 러시아 웹사이트들도 여기에 피해를 보고 있다고 알려졌다.

12월 7일가지 보안 전문가들은 약 2만여 번의 공격을 발견했고, 한 달 전에는 그 빈도수가 더 높아 하루 4만여 번의 공격이 Linux.ProxyM이 만들어 놓은 봇넷으로부터 감행됐다.

“Linux.ProxyM의 기능은 단순합니다. 봇넷을 만드는 것 뿐입니다. 하지만 그 봇넷을 가지고 다양하게 활용하는 법을 해커들이 개발해가고 있는 모양새입니다. 사물인터넷에 대한 공격이 광범위하고 다양해지고 있습니다.” 닥터웹의 경고다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)