세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사 > 외신
새롭게 출현한 스팸용 봇넷, 현재까지 40만대 감염시켜
  |  입력 : 2018-11-09 17:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
BCMPUPnP_Hunter라는 봇넷, 브로드컴 UPnP 취약점 익스플로잇
공격 성공 후 유명 이메일 서버와의 통신 시작...스팸 메일 뿌리기 위함


[보안뉴스 문가용 기자] 새로운 봇넷이 발견됐다. 스팸 이메일을 보내는 것을 주목적으로 하는 것으로 보이며, 현재까지 약 40만 대의 기기와 장비들을 감염시키는 데 성공했다고 한다. 보안 업체인 치후360(Qihoo 360)의 360 넷랩(360 Netlab)이 이에 대해 발표했다.

[이미지 = iclickart]


이 봇넷의 이름은 BCMPUPnP_Hunter인데, 주로 브로드컴의 UPnP 기능이 활성화 된 라우터들을 표적으로 삼는다고 한다. 지난 9월에 처음 등장하기 시작했지만, 봇넷과 감염된 장비(혹은 감염될 장비) 사이의 통신 및 상호작용이 다단계로 발생해서 이제야 샘플을 확보할 수 있었다고 한다.

360 넷랩에 따르면 이 ‘상호작용’이라는 것은 다음과 같은 내용으로 구성되어 있다.
1) tcp 포트 5431번을 통한 스캐닝
2) 표적의 UDP 포트 1900번의 확인
3) 취약한 URL 기다리기
4) 네 번의 패킷 교환 후 메모리 내 셸코드의 실행 시작 주소 파악
5) 본격 익스플로잇 배포 시작

공격이 성공하면 프록시 네트워크가 구축된다. 그리고 아웃룩이나 핫메일, 야후 메일처럼 유명한 메일 서버들과의 통신을 시작한다. 목적은 스팸 메일 발송이다.

지난 한 달 동안은 스캔 활동이 발생하는 IP 주소가 약 10만 개 선에 머물렀었다. 특이한 점이 있다면 2주 전쯤 2만 밑으로 잠깐 떨어졌다는 것 정도다. 그 후에는 1~3일 주기로 증가 추세를 보이더니, 다시 10만을 다시 찍었다. 이런 IP 주소들을 전부 수집해 목록을 만들었더니 337만 개가 모였다. 그렇다고 공격자들이 337만 개의 장비를 공격했다는 건 아니다. 일부 장비들이 IP 주소를 바꾸면서 접속하기 때문에 이렇게 숫자가 커진 것이라고 넷랩 측은 보고 있다.

또한 이 스캐닝 공격을 분석함으로써 360 넷랩은 116개 유형의 장비 정보를 취득할 수 있었다. 그러면서 대략 전 세계 곳곳의 장비 40만대 정도를 감염시킨 것 같다는 추정치를 얻어낼 수 있었다. 인도와 미국, 중국에서 가장 많은 피해가 발생했다.

샘플을 분석했더니 셸코드와 본체로 구성되어 있는 것을 알 수 있었다. 셸코드의 경우, 본체를 다운로드 받아 실행하는 목적을 위해 특별히 만들어졌으며, “굉장히 실력이 좋은 개발자의 작품으로 보인다.”

본체는 1) 브로드컴 UPnP 취약점에 대한 익스플로잇과 2) 프록시 접근 네트워크 모듈로 구성되어 있으며, 네 개의 명령 코드들을 C&C 서버로부터 받아 실행할 수 있다고 한다. 이 네 개의 명령 코드는 1) 실제 기능이 없는 최초 패킷 생성, 2) 취약한 공격 대상을 검색, 3) 현재 진행되는 작업 삭제, 4) 프록시 서비스 시작이다.

“결국 이 봇넷의 가장 주된 목적은 잘 알려진 메일 서비스의 서버들을 사용해 트래픽을 다른 곳으로 돌리는 것입니다. 연결을 TCP 포트 25번을 통해서만 일어나는데, 이 포트는 SMTP 프로토콜을 위한 것이죠. 즉 이메일용 포트라는 겁니다. 왜 이메일 연결만을 하고, 이메일 서버들과 프록시 연결을 하는 걸까요? 이 봇넷의 목적이 스팸 메일 뿌리는 것이기 때문입니다. 그것이 이 봇넷의 유일한 목적이라고 봅니다.”

3줄 요약
1. 새로운 봇넷 출현. 이름은 BCMPUPnP_Hunter.
2. 유명 이메일 서버의 트래픽에 대한 공격 기능만 가지고 있음.
3. 따라서 이 봇넷의 목적은 스팸 메일을 뿌리는 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술