Home > 전체기사

미라이의 새로운 변종 등장, 이름은 위키드

  |  입력 : 2018-05-18 11:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
미라이와 달리 다양한 익스플로잇 탑재한 업그레이드 버전
미라이 변종 다수 만든 개발자가 위키드도 만들었을 가능성 높아


[보안뉴스 문가용 기자] 미라이(Mirai)라는 사물인터넷 봇넷 멀웨어의 새로운 변종이 등장했다. 새로운 익스플로잇들을 탑재한 것으로 보안 업체 포티넷(Fortinet)이 발견했다. 이 새 버전의 이름은 위키드(Wicked)로 이전 미라이 변종을 개발한 자가 이번 업그레이드도 주도한 것으로 보인다.

[이미지 = iclickart]


미라이 봇넷 멀웨어가 처음 발견된 건 2016년 3사분기의 일이다. 당시 사물인터넷 기기들로만 구성된 봇넷의 최초 출현으로 큰 주목을 받았었다. 사상 최대의 디도스 공격이 미라이를 통해 이뤄지기도 했다(지금은 기록이 깨진 상태다). 그리고 그 해 10월 미라이의 소스코드가 온라인에서 공개됐으며, 그 후 꾸준히 마수타(Masuta), 사토리(Satori), 오키루(Okiru) 드의 변종들이 나오고 있는 상태다.

위키드는 기존 미라이와 마찬가지로 세 개의 핵심 모듈인 공격(Attack), 킬러(Killer), 스캐너(Scanner)를 가지고 있다. 그러나 기존 미라이가 사물인터넷 기기들의 디폴트 크리덴셜을 노린 브루트포스 공격으로 침투한 반면, 위키드는 공개된 다른 취약점들의 익스플로잇을 시도한다.

포티넷에 따르면 위키드는 포트 8080, 8443, 80, 81번을 스캔해 로우 소켓 SYN 연결(raw socket SYN connection)을 성립한다. 연결에 성공하면 장비 익스플로잇을 시도한 후, 소켓에 익스플로잇 문자열을 써 넣음으로써 페이로드를 업로드시킨다. 어떤 포트로 연결이 되었는지에 따라 사용하는 익스플로잇이 달라진다.

“포트 8080과 연결이 되었다면 Netgear DGN1000와 DGN2200 v1 라우터의 익스플로잇을 시도합니다. 이는 리퍼(Reaper)라는 봇넷이 사용하는 익스플로잇이기도 합니다. 포트 81과 연결이 되었을 경우, CCTV-DVR 원격 코드 실행 익스플로잇을 실시합니다. 포트 8443과 연결이 되었을 경우는 Netgear R7000과 R6400 명령 주입 취약점(CVE-2016-6277)을 익스플로잇 합니다. 포트 80과 연결이 되었다면 침해된 웹 서버에서 인보커 셸(invoker shell)을 사용합니다.”

위키드는 소라로더(SoraLOADER)라는 문자열을 포함하고 있다. 소라 봇넷(Sora botnet)이 떠오르는 부분으로, 포티넷은 “위키드 제작자들이 소라 봇넷을 확장시키려는 의도를 가지고 있었던 것으로 보인다”고 분석했다. 그러나 실제 위키드는 또 다른 미라이의 변종인 오와리(Owari) 봇넷을 다운로드시키는 악성 도메인과 연결되어 있다. 현재 해당 도메인에서는 오와리 대산 옴니(Omni)라는 봇넷 멀웨어가 배포되는 중이다.

이렇게 위키드를 조사하다보니 소라, 오와리, 옴니라는 봇넷들의 흔적들이 속속 나오기 시작했다. 포티넷은 이 넷의 관련성을 파헤치다가 소라와 오와리의 개발자라고 자처한 한 인물의 인터뷰를 발견할 수 있었다. 그는 스스로를 ‘위키드’라는 이름으로 소개하고 있었다. 당시 인터뷰를 통해 위키드는 “소라 봇넷은 버려진 상태”라고 밝혔으며, “오와리 작업은 진행 중에 있다”고 설명하기도 했다. 해당 인터뷰는 여기(https://blog.newskysecurity.com/understanding-the-iot-hacker-a-conversation-with-owari-sora-iot-botnet-author-117feff56863)서 열람 가능하다(영문).

이러한 정보를 조합해 포티넷은 “소라와 오와리 봇넷의 위협은 현재로서는 사실상 사라진 상태”라고 보고 있다. 또한 “위키드 개발자는 현재 옴니 프로젝트에 열중하고 있다”고 결론을 내렸다. “위키드, 소라, 오와리, 옴니를 개발한 건 모두 동일 인물입니다. 그가 현재 집중하고 있는 건 옴니이고, 위키드는 원래 소라 봇넷을 확장하기 위한 도구로 기획되었으나 차후에 옴니로 목적이 바뀐 듯 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)