Home > 전체기사
아시아권 겨냥한 또 다른 Socks5 공격, Gwmndy 봇넷 발견
  |  입력 : 2019-08-07 09:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파이버홈에서 만든 라우터만 노려...하루에 더도 덜도 말고 딱 200대만 감염
봇넷 구성하고 나서의 움직임 없어...공격자의 의도는 아직 알 수 없어


[보안뉴스 문가용 기자] 조금은 이상한 봇넷이 나타났다. 파이버홈(Fiberhome)에서 만든 라우터들을 표적 공격하고 있는데, 하루에 약 200대의 라우터가 봇넷에 추가되고 있다고 한다. 이를 처음 발견한 360넷랩(360 Netlab)에 의하면 “봇넷의 세계에서 200대는 정말 적은 숫자”라고 한다.

[이미지 = iclickart]


“보통 봇넷이라고 하면 최대한 많은 장비를 자신의 휘하에 두려고 하죠. 최대한의 피해를 입히고, 최대한 많이 감염시켜 숫자를 불리는 게 봇넷의 매커니즘입니다. 그런데 이 이상한 봇넷은 하루에 겨우 200개 정도만 편입시키고는 아무 것도 하지 않습니다. 마치 멀웨어 개발자가 그 정도면 됐다고 만족하는 것 같이 보입니다. 아마도 봇넷으로 하고자 하는 일이 조금은 다른 것 같습니다.”

실제로 이 봇넷은 보통 봇넷이 하는 일을 하지 않는다. 디도스 공격도 하지 않고, 암호화폐 채굴 코드를 퍼트리는 것도 아니며, 스팸 메일을 보내지도, 정보를 훔치지도 않는다. “유일하게 하는 일이라고는 라우터를 SSH 터널링 프록시 노드로 변환시키는 것입니다. 그리고 그렇게 하는 이유는 아직 드러나지 않고 있습니다.”

물밑에서
360넷랩이 분석한 바에 의하면 라우터들은 악성 실행파일에 의해 감염이 되고 있다. 보다 정확히 말하면 ELF 포맷의 파일이 범인이라고 한다. 문제의 ELF 파일이 어떤 식으로 장비에 도달하는지는 정확히 알려져 있지 않지만, 여러 가지 전형적인 기술들이 사용되었을 것으로 보인다.

“ELF 포맷으로 전달되는 멀웨어의 이름은 읽기도 힘든 Gwmndy입니다. Gwmndy가 어떤 방식으로 퍼지는지 아직 정확히 알 수는 없습니다만, 파이버홈의 라우터의 웹 시스템이 비밀번호와 관련된 취약한 부분을 가지고 있다는 것은 분명합니다. 게다가 원격 코드 실행 취약점들도 몇 가지 내포하고 있습니다.”

라우터에 설치되고 난 후 ELF 파일은 주기적으로 라우터의 정보를 수집한다. 로컬 SSH 포트, 셰도 비밀번호, 공공 IP 주소, 맥주소 등이다. 그런 후에는 이 정보를 원격의 웹 인터페이스로 업로드한다. “이런 정보들을 공격자가 가져가면, IP 주소가 바뀐 후라고 해도 장비를 장악할 수 있게 됩니다.”

그 외에도 Gwmndy는 장비에 백도어와 SSH 터널을 만든다. 동적 포트 포워딩을 하기 위함이다. 그런 후에는 Socks5 프록시 서비스를 로컬에서 생성하기도 한다. “공격자는 라우터에서 드롭베어(dropbear) 프로그램을 실행합니다. 드롭베어는 표준 OpenSSH를 대체하는 거라고 보면 됩니다. 그런 후에는 /fh/extend/userapp.sh 파일에 시작 명령을 추가합니다. 또한 vpnip와 rinetd라는 프로그램을 실행시킵니다.”

특이한 건 요 근래 Socks5를 사용하는 악성 멀웨어 및 공격 캠페인이 지속적으로 발견되고 있다는 것이다.
1) 보안 업체 프루프포인트(Proofpoint)가 시스템BC(SystemBC)라는 프록시 멀웨어를 발견했다(https://www.boannews.com/media/view.asp?idx=82000&page=1&kind=1)
2) 보안 업체 트렌드 마이크로(Trend Micro)가 새로운 미라이의 변종을 발견했는데, Socks5 프로토콜을 사용하는 기능이 포함되어 있었다(https://www.boannews.com/media/view.asp?idx=81996&kind=).
오늘 360넷랩이 발견한 것으로 이번 주에만 세 건의 Socks5 관련 악성 공격이 보도된 것.

360넷랩이 입수한 샘플에는 사용자 이름과 비밀번호가 하드코드 되어 있었다. 연구원들은 이를 통해 Gwmndy 웹 통계 페이지에 접속할 수 있었는데, 거기에는 431개의 맥주소와 422개의 IP 주소가 기록되어 있었다. 주로 필리핀과 태국에서 피해가 많았다. 프루프포인트가 발견한 Socks5 멀웨어 역시 아시아인들을 겨냥하고 있었다.

“이번 캠페인에 당한 장비는 전부 파이버홈에서 만든 AN5506였습니다. 이런 봇넷의 공격에 대항하려면 라우터의 소프트웨어 시스템을 최신화 하고, 로그인 크리덴셜을 강력한 것으로 바꿔야 합니다.”

3줄 요약
1. 파이버홈에서 만든 특정 라우터만 공격해 봇넷으로 만드는 캠페인 발견됨.
2. 그런데 하루에 추가되는 봇의 숫자는 겨우 200여대 정도. 숫자 차면 공격 중단.
3. 요 근래 아시아권에서 Socks5 프록시를 이용한 공격이 자주 발견되고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향