IoT / 보안

새로운 DDoS 봇넷 미라이 오키루의 표적은

Ms. Smith  | CSO 2018.01.16
미라이(Mirai) 악성코드와 과거 CPU 아키텍처를 표적으로 삼았던 여러 변종들이 이제는 두번째로 널리 사용되는 CPU 형태인 ARC 프로세서를 표적으로 삼고 있다.

IoT, 자동차, 모바일, TV, 카메라와 거의 모든 제품에 사용되는 임베디드 프로세서인 ARC 프로세서를 표적으로 하는 DDoS 봇넷 미라이 오키루(Mirai Okiru)가 등장한 것이다. ARC CPU는 연간 10억 개 이상의 제품으로 출하되는 것으로 알려졌다.

보안 연구원 오디세우스(Odisseus)에 따르면, 멜웨어머스트다이(MalwareMustDie)팀의 @unixfreaxjp가 오키루(Okiru) 견본을 처음 발견했다고 전했다. 이 기사가 나온 시점인 15일 바이러스 토탈의 탐지율은 13/58였으며, 오디세우스가 트위터에 글을 남길 때에는 겨우 5/60이었다. 



#MIRAI OKIRU는 최초의 ARC CPU용 악성코드라는 사실에 주의를 기울여야 하며, 아직 기기들은 감염되지 않은 상태지만, 사태는 커질 수 있다.



이 소식은 보안 전문가인 피에르루이지 파가니니에 의해 널리 알려졌다. 파가니니가 소식을 전파한 지 20분 후 이탈리아 CERT(Computer Emergency Response Team)는 "약 1시간 동안 접속을 방해하는 대규모 DDoS 공격의 객체로 삼는 미라이 오키루에 대해 알게됐다"고 전했다.

지난해 12월에 미라이 악성코드 변종인 사토리(Satori)에 대한 보고서가 나온 적이 있다. 이를 오키루라고도 하는데, 사토리는 수십만 대의 화웨이 라우터를 공격하는 데 사용된 바 있다. 이 익스플로잇은 보안 전문업체 뉴스카이시큐리티(NewSky Security)가 블랙 햇 산타(blackhat Santa)라고 불렀던 것으로 지난해 크리스마스에 “무료”로 발표됐다.

두 가지 유형의 리눅스 IoT DDoS 악성코드는 서로 비슷하지만, 미라이 오키루와 미라이 사토리는 매우 다른 점이 있다. 이 차이점은 서브레딧 리눅스멜웨어(LinuxMalware)에서 지적된 바 있다. 

CERT-PA의 게시물에 따르면, 새로운 미라이의 변종을 확인하기 위한 Yara rules에 대해 발표했던 MMD 연구원은 오키루를 사토리라는 이전 미라이 봇넷과 비교했다. 이 연구진의 관찰에 따르면, 오키루의 구성은 두 부분으로 암호화되어 있으며, 텔넷(Telnet)을 통한 공격은 100개 이상의 자격 증명 목록을 사용하고 있어 훨씬 기민하다(MMD에 의해 계산된 자격 증명은 114개다).

오디세우스는 이 2개 모두를 탐지하기 위해서는 차이점과 서로 다른 시그니처를 갖고 있다는 점을 이해하는 것이 중요하다고 전했다.

보안전문가들은 이제 대부분의 IoT 기기들이 아무리 보안성이 뛰어나다고 해도 보안이 매우 형편없음을 잘 알고있다. 다인DNS(DynDNS) 서비스를 중단시킨 것이 미라이에 감염된 10만 대의 기기였다는 점을 잊지 못한다.

이번에 표적이 된 2014년에 만들어진 시놉시스(Synopsys)의 ARC 프로세서 IP 코어는 190개 이상의 회사에서 라이선스를 취득했으며, 1년에 15억 개 이상의 제품에 사용되고 있다. 2016년에 미라이 봇넷에 사용된 10만 대 기기로 인한 혼란을 생각해보면, 공격자가 미라이 오키루 DDoS 봇넷용으로 수백만 대의 ARC 기반의 IoT 기기를 제어하게 된다면 올해는 상당히 악몽과 같은 한 해가 될 것이다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.