IoT / 보안

미라이 IoT 봇넷에서 활용한 61가지 비밀번호

Steve Ragan | CSO 2016.10.04
미라이는 이번 DDoS 공격에 이용된 2개의 봇넷 가운데 하나다. 이 봇넷은 기본 사용자명과 비밀번호를 가진 IoT 기기를 공략해 좀비 기기로 만들어 공격한다.


Credit: Stephen Lawson

기본 사용자명과 비밀번호는 IT에서 항상 초대형 문제를 일으킨다. 이는 이번에 사물인터넷(Internet of Things, IoT)을 뒤덮은 문제를 더욱 커지게 만들었다. 무시하거나 일부 사람에게는 변경하기가 너무 어려운 기본 자격증명은 역사상 가장 큰 DDoS 공격의 일부를 장식한 봇넷 성장의 배후가 됐다.


해당 사용자명과 비밀번호는 미라이 봇넷(Mirai botnet)에서 사용됐다.

미라이 봇넷은 브라이언 크렙스(Brian Krebs)를 620Gbps 크기의 DDoS 공격을 감행했다. 그러나 사상 최대의 DDoS 공격은 프랑스 호스팅업체 OVH에 대한 DDoS 공격으로 799Gbps를 기록한 바 있다.

미라이는 텔넷을 스캔한 뒤, 카메라, DVR, 라우터 또는 다른 연결형 하드웨어 등의 기기에 대해 무차별 대입(brute-force) 접속을 시도해 자격 증명을 획득했다.

이 비밀번호는 지난주 제작자에 의해 공개된 봇넷의 소스코드로부터 나왔다. 이 소스코드에는 비밀번호 복제본이 있었다. 스캐너.c는 62개 비밀번호 조합으로 살피는데, 그들 가운데 61개 만이 독특한 조합으로 되어 있었다

이 봇넷은 최소 2개가 있어야 한다. 그러나 미라이 제작자는 2개의 VPS 계정, 하나의 C&C 서버, 추가적인 로드밸런싱을 추가하기 위한 3개의 서버를 호스트했다고 말했다.

미라이는 텔넷 스캐닝으로 거의 40만 대에 가까운 기기가 연결됐다. 브라이언 크렙스를 공격한 이후, ISP의 방어로 인해 규모는 약 30만 대로 줄어들었다.

미라이 제작자는 봇넷 소스코드를 공개하는 것과 함께 상세 구성과 설정 내역을 공개해 유사한 봇넷이 나타나는 데에는 오랜 시간이 걸리지 않을 것으로 보인다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.