Home > 전체기사

또 너냐 미라이! 9개 취약점 익스플로잇 하는 변종 등장

  |  입력 : 2021-03-17 16:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미라이 취약점이 다시 나타났다. 역시 과거에 유출됐던 소스코드를 기반으로 하고 있다. 게다가 취약점을 9개나 익스플로잇 함으로써 증식한다. 디링크, 넷기어, 소닉월 장비 사용자들은 제조사의 패치 발표 상황을 예의주시해야 한다.

[보안뉴스 문가용 기자] 미라이(Mirai) 봇넷의 새로운 변종이 나타났다. 현재 이 변종은 디링크(D-Link), 넷기어(Netgear), 소닉월(SonicWall) 장비들의 취약점을 익스플로잇 하며 퍼져나가는 중이라고 한다. 또한 역대 미라이 변종들이 한 번도 익스플로잇 한 적 없는 취약점들까지 익스플로잇 하는 기능이 탑재되어 위협적이다.

[이미지 = utoimage]


이 변종은 2월 16일부터 6개의 알려진 취약점들과, 3개의 알려지지 않은 취약점들을 표적으로 삼아 익스플로잇 활동을 펼쳐온 것으로 조사됐다. 이 익스플로잇을 허용한 장비들은 미라이 봇넷에 편입됐다. 익스플로잇을 허용한 장비들이라 함은, 취약점 패치가 제대로 이뤄지지 않은 것들을 말한다. 참고로 미라이의 소스코드는 2016년 10월에 공개된 바 있다.

새 변종이 노리는 ‘알려진’ 취약점은 다음과 같다.
1) CVE-2020-25506 : 소닉월 SSL-VPN과 디링크 DNS-320 방화벽의 취약점
2) CVE-2021-27561, CVE-2021-27562 : 이링크(Yealink) 장비 관리자의 취약점
3) CVE-2020-26919 : 넷기어 프로세이프 플러스의 취약점
4) CVE-2021-22502 : 마이크로 포커스 오퍼레이션 브리지 리포터(Micro Focus Operation Bridge Reporter)의 취약점
5) CVE-2019-19356 : 네티스 WF2419 무선 라우터의 취약점

알려지지 않은 취약점들의 경우 아직 분석이 진행되고 있어, 특정 장비들 내에 존재한다는 것 외에는 구체적으로 밝혀진 바가 없다. 그리고 미라이라는 변종의 역사를 봤을 때 이 ‘특정 장비들’은 사물인터넷 장비들을 가능성이 매우 높아 보인다. 세 개 중 두 개는 원격 코드 실행을 유발하는 것으로 알려져 있고 나머지 하나는 명령 주입 취약점의 일종으로 알려져 있다. 이 마지막 명령 주입 취약점은 과거 무봇(Moobot)이라는 봇넷 멀웨어가 익스플로잇 했던 적이 있으나, 당시에도 해당 취약점과 익스플로잇은 제대로 분석되지 않았었다.

이번 미라이의 경우 9가지 취약점 중 한 가지를 성공적으로 익스플로잇 하고 나서는 wget이라는 유틸리티를 활성화시킨다. wget은 웹 서버로부터 콘텐츠를 가져오는 정상 프로그램이다. 공격자들은 이를 이용해 셸스크립트를 추가로 다운로드 받는다. 이 셸스크립트는 또 다른 미라이 바이너리들을 다운로드 받아서 하나씩 차례로 실행한다.

이런 바이너리 중 하나가 lolol.sh이다. 다양한 기능들을 가지고 있는 바이너리인데, 주로 피해자의 장비 내에서 주요 폴더들을 찾아내 지우는 역할을 담당한다. 그 외에 패커 필터 규칙을 설정해 특정 트래픽을 차단한다든지, 자신이 실행되는 시간을 주기적으로 설정하는 기능도 수행할 수 있다. install.sh라는 바이너리의 경우, 여러 가지 파일과 패키지들을 다운로드 한다. 그리고 이를 통해 각종 공격을 야기한다.

최종적으로 다운로드 되는 바이너리는 dark.arch라고 한다. 미라이 소스코드를 기반으로 하고 있으며 ‘증식’을 주 기능으로 하고 있다. 다양한 취약점을 익스플로잇 하거나 약한 크리덴셜을 익스플로잇 하는 방식이 주를 이룬다. 이번 미라이에 대한 상세 내용은 팔로알토 네트웍스의 블로그(https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/)를 통해 열람할 수 있다.

3줄 요약
1. 미라이의 또 다른 변종이 출현. 무려 9가지 취약점을 익스플로잇 함.
2. 9개 익스플로잇 중 3개는 아직까지 알려지거나 공개되지 않은 것들.
3. 사물인터넷 장비들 통해 증식하는 독특한 멀웨어, 소스코드 공개 후 자꾸만 변종 등장.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화