0xNews - Mirai 변종과 ZHtrap 봇넷 악성코드 발견
0xNews - Mirai 변종과 ZHtrap 봇넷 악성코드 발견
Palo Alto Networks 의 Unit42 발표
https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/
미라이 Mirai 변종이 공격에 성공하면
악성 쉘 스크립트를 다운로드
이후 무차별 대입 공격 다운로드와 같은 추가 감염 활동을 수행
미라이 변종이 악용하는 취약점
VisualDoor
2021년 1월초 발견된 SonicWall SSL-VPN 원격 명령어 인젝션 취약점
https://darrenmartyn.ie/2021/01/24/visualdoor-sonicwall-ssl-vpn-exploit/
CVE-2020-25506
D-Link DNS-320 방화벽 RCE Remote Code Execution 취약점
https://nvd.nist.gov/vuln/detail/CVE-2020-25506
CVE-2021-27561
CVE-2021-27562
인증되지 않은 공격자가 루트 권한으로 서버에서 임의의 명령을 실행할 수 있도록 하는 Yealink 장치 관리의 취약점 두개
https://ssd-disclosure.com/ssd-advisory-yealink-dm-pre-auth-root-level-rce/
CVE-2021-22502
Micro Focus OBR Operation Bridge Reporter v.10.40 버전에 영향을 미치는 RCE 취약점
https://github.com/pedrib/PoC/blob/master/advisories/Micro_Focus/Micro_Focus_OBR.md
CVE-2021-19356
Netis WF2419 무선 라우터 RCE 취약점
https://nvd.nist.gov/vuln/detail/CVE-2019-19356
CVE-2020-26919
Netgear ProSAFE Plus RCE 취약점
https://nvd.nist.gov/vuln/detail/CVE-2020-26919
또한 연구팀은 MooBot 와 함께 추가 발견된 명령어 인젝션 취약점 3개 추가 발견
현재까지 해당 취약점이 노리는 대상은 파악 불가
해당 공격은 2021년 2월부터 3월 13일까지 탐지
MooBot 맬웨어 관련 정보 사이트 링크
https://malpedia.caad.fkie.fraunhofer.de/details/elf.moobot
공격의 시작은 wget 유틸리티를 통해 맬웨어 인프라에서 쉘 스크립트 다운로드
네트워크에 연결된 리눅스 IoT 기기를 원격 제어 봇으로 바꾸는 미라이 바이너리를 가져오는데 사용
대규모 네트워크 공격에서 봇넷의 BotNet 일부로 사용될 가능성 높음
미라이 바이너리 다운로드 외 실행 파일을 검색하는 쉘 스크립트 추가 발견
무차별 대입 공격을 통해 암호가 취약한 시스템에 침입할 수 있게 함
아직까지 IoT 영역은 공격자 입장에서는 쉽게 접근할 수 있는 대상
많은 취약점은 악용하기 쉽고 경우에 따라 치명적인 결과를 초래할 수 있음
중국 보안 회사 Netlab360 발표
https://blog.netlab.360.com/matryosh-botnet-is-spreading-en/
허니팟을 사용하여 피해자 수집
Matryosh 라고 불려진 DDoS 봇넷에서 일부 기능을 빌리는 새로운 미라이 기반 봇넷 ZHtrap 발견
허니팟 honeypots 일반적으로 사이버 범죄자의 표적을 모방
공격 방식에 대한 더 많은 정보를 수집하려는 침입 시도를 활용
ZHtrap 봇넷은 웜과 같은 추가 전파를 위해 표적으로 사용되는 IP 주소를 수집하기 위해 스캐닝 IP 수집 모듈을 통합하여 유사한 기술을 사용
23개 지정된 포트에서 수신 대기하고 이러한 포트에 연결되는 IP주소를 식별
이후 모아둔 IP주소를 사용하여 4개 취약점을 이용하여 페이로드를 삽입하여 목표 달성하도록 함
MVpower DVR 쉘 인증되지 않은 RCE - Metasploit
https://www.exploit-db.com/exploits/41471
Netgear DGN1000 Setup.cgi 인증되지 않은 RCE - Metasploit
https://www.exploit-db.com/exploits/43055
여러 공급업체에 영향을 미치는 CCTV DVR RCE
https://www.exploit-db.com/exploits/39596
CVE-2014-8361 - Realtek SDK miniigd SOAP 명령 실행 command execution - Metasploit
https://www.exploit-db.com/exploits/37169
ZHtrap 의 전파는 N-Day 취약점 4개를 사용
주요 기능은 DDoS 와 스캐닝이며 일부 백도어 기능까지 통합
감염된 기기에 허니팟을 설정하고 피해 기기에 대한 스냅샷을 찍고 스냅샷을 기반으로 새 명령 실행을 비활성화하여 기기에 대한 독점성 확보
기기를 점령하면 ZHtrap 은 C&C command-and-control 서버와의 통신에 Tor 네트워크 사용
Matryosh 봇넷에서 신호를 가져와 추가 페이로드를 다운로드하여 실행
연구팀은 ZHtrap을 2021년 2월 28일 최초 발견
감염된 기기를 허니팟으로 전환하는 이 기술은 더 많은 표적을 찾는데 도움이 되는 봇넷의 진화
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.