Home > 전체기사

미라이의 새로운 변종 등장, 이름은 위키드

  |  입력 : 2018-05-18 11:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
미라이와 달리 다양한 익스플로잇 탑재한 업그레이드 버전
미라이 변종 다수 만든 개발자가 위키드도 만들었을 가능성 높아


[보안뉴스 문가용 기자] 미라이(Mirai)라는 사물인터넷 봇넷 멀웨어의 새로운 변종이 등장했다. 새로운 익스플로잇들을 탑재한 것으로 보안 업체 포티넷(Fortinet)이 발견했다. 이 새 버전의 이름은 위키드(Wicked)로 이전 미라이 변종을 개발한 자가 이번 업그레이드도 주도한 것으로 보인다.

[이미지 = iclickart]


미라이 봇넷 멀웨어가 처음 발견된 건 2016년 3사분기의 일이다. 당시 사물인터넷 기기들로만 구성된 봇넷의 최초 출현으로 큰 주목을 받았었다. 사상 최대의 디도스 공격이 미라이를 통해 이뤄지기도 했다(지금은 기록이 깨진 상태다). 그리고 그 해 10월 미라이의 소스코드가 온라인에서 공개됐으며, 그 후 꾸준히 마수타(Masuta), 사토리(Satori), 오키루(Okiru) 드의 변종들이 나오고 있는 상태다.

위키드는 기존 미라이와 마찬가지로 세 개의 핵심 모듈인 공격(Attack), 킬러(Killer), 스캐너(Scanner)를 가지고 있다. 그러나 기존 미라이가 사물인터넷 기기들의 디폴트 크리덴셜을 노린 브루트포스 공격으로 침투한 반면, 위키드는 공개된 다른 취약점들의 익스플로잇을 시도한다.

포티넷에 따르면 위키드는 포트 8080, 8443, 80, 81번을 스캔해 로우 소켓 SYN 연결(raw socket SYN connection)을 성립한다. 연결에 성공하면 장비 익스플로잇을 시도한 후, 소켓에 익스플로잇 문자열을 써 넣음으로써 페이로드를 업로드시킨다. 어떤 포트로 연결이 되었는지에 따라 사용하는 익스플로잇이 달라진다.

“포트 8080과 연결이 되었다면 Netgear DGN1000와 DGN2200 v1 라우터의 익스플로잇을 시도합니다. 이는 리퍼(Reaper)라는 봇넷이 사용하는 익스플로잇이기도 합니다. 포트 81과 연결이 되었을 경우, CCTV-DVR 원격 코드 실행 익스플로잇을 실시합니다. 포트 8443과 연결이 되었을 경우는 Netgear R7000과 R6400 명령 주입 취약점(CVE-2016-6277)을 익스플로잇 합니다. 포트 80과 연결이 되었다면 침해된 웹 서버에서 인보커 셸(invoker shell)을 사용합니다.”

위키드는 소라로더(SoraLOADER)라는 문자열을 포함하고 있다. 소라 봇넷(Sora botnet)이 떠오르는 부분으로, 포티넷은 “위키드 제작자들이 소라 봇넷을 확장시키려는 의도를 가지고 있었던 것으로 보인다”고 분석했다. 그러나 실제 위키드는 또 다른 미라이의 변종인 오와리(Owari) 봇넷을 다운로드시키는 악성 도메인과 연결되어 있다. 현재 해당 도메인에서는 오와리 대산 옴니(Omni)라는 봇넷 멀웨어가 배포되는 중이다.

이렇게 위키드를 조사하다보니 소라, 오와리, 옴니라는 봇넷들의 흔적들이 속속 나오기 시작했다. 포티넷은 이 넷의 관련성을 파헤치다가 소라와 오와리의 개발자라고 자처한 한 인물의 인터뷰를 발견할 수 있었다. 그는 스스로를 ‘위키드’라는 이름으로 소개하고 있었다. 당시 인터뷰를 통해 위키드는 “소라 봇넷은 버려진 상태”라고 밝혔으며, “오와리 작업은 진행 중에 있다”고 설명하기도 했다. 해당 인터뷰는 여기(https://blog.newskysecurity.com/understanding-the-iot-hacker-a-conversation-with-owari-sora-iot-botnet-author-117feff56863)서 열람 가능하다(영문).

이러한 정보를 조합해 포티넷은 “소라와 오와리 봇넷의 위협은 현재로서는 사실상 사라진 상태”라고 보고 있다. 또한 “위키드 개발자는 현재 옴니 프로젝트에 열중하고 있다”고 결론을 내렸다. “위키드, 소라, 오와리, 옴니를 개발한 건 모두 동일 인물입니다. 그가 현재 집중하고 있는 건 옴니이고, 위키드는 원래 소라 봇넷을 확장하기 위한 도구로 기획되었으나 차후에 옴니로 목적이 바뀐 듯 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)