​새로운 미라이 변종이 발견됐다. 텐다, 자이젤 등에서 만들어진 사물인터넷 장비들의 취약점을 익스플로잇 해 가며 세력을 확장하고 있다. 워낙 조용히 움직이고 있어 오랜 시간 눈에 띄지 않았다가 이번에 처음으로 발각됐다.

[보안뉴스 문가용 기자] 악명 높은 사물인터넷 봇넷인 미라이(Mirai)의 변종이 등장해 네 가지 장비의 취약점들을 익스플로잇 하며 세력을 확장하기 시작했다고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 경고했다. 이 변종에는 IZ1H9라는 이름이 붙었다. 2021년 11월부터 본격적으로 활동을 시작한 것으로 보인다고 한다.

​

[이미지 = gettyimagesbank]

IZ1H9가 익스플로잇 하는 취약점과, 그 취약점들이 발견되는 장비는 다음과 같다.

1) CVE-2023-27076 : 텐다 G103(Tenda G103)의 명령 주입 취약점

2) CVE-2023-26801 : LB-Link 장비의 명령 주입 취약점

3) CVE-2023-26802 : DCN DCBI-Netlog-LAB의 원격 코드 실행 취약점

4) CVE 번호 없음 : 자이젤(Zyxel) 장비들의 원격 코드 실행 취약점

IZ1H9 변이는 현재까지로서는 디도스에 많이 치중된 봇넷으로 보인다. 하지만 공격자들이 마음먹기에 따라 훨씬 더 심각한 위협으로 변질될 가능성도 높다고 팔로알토 측은 경고한다. 또 다른 보안 업체 호라이즌3(Horizon3.ai)의 수석 보안 책임자인 스티븐 게이츠(Stephen Gates)도 “이 봇넷을 통해 원격 코드 실행이 가능하다”며 “공격자들이 언제고 취약한 장비를 완전 장악하고 통제할 수 있다는 뜻”이라고 설명한다. “회사 네트워크에 사용자가 장악한 장비가 존재한다는 건 공격자의 분신을 옆에 두고 일하는 것과 마찬가지입니다.”

팔로알토가 추적한 바에 의하면 IZ1H9가 최초로 공격에 활용된 건 2021년 11월로 보인다고 하며, 그 후 같은 공격자 혹은 공격 단체가 계속해서 이 미라이 변종을 공격에 사용해왔다고 한다. 다만 IZ1H9라는 존재가(지금과는 약간씩 다른 모습이긴 하지만) 발견된 것 자체는 2018년부터로 추정되고 있다. “2021년 11월부터는 거의 똑같은 셸 스크립트 다운로더가 공격에 활용됐습니다. 수집된 멀웨어 샘플들도 거의 일치하고요. XOR 복호화 키와 공격 인프라도 같습니다. 그래서 같은 공격자가 계속 사용해 온 것이라고 보고 있는 겁니다.”

IZ1H9 분석

지난 4월에 있었던 IZ1H9의 공격의 경우, 팔로알토의 보안 전문가들은 163.123.143.126이라는 IP 주소로부터 시작되는 비정상적인 트래픽을 먼저 발견했다고 한다. 셸 스크립트 다운로더를 다운로드 받아 실행하는 과정에서 발생한 트래픽이었다. 성공적으로 실행될 경우 문제의 셸 스크립트는 먼저 피해자의 시스템에서 로그를 삭제해 자신의 흔적을 흐리게 만들었다. 그런 다음 봇 클라이언트들을 여러 개 실행시켜 다양한 종류의 리눅스 아키텍처와 호환이 되도록 했다.

마지막으로는 위의 셸 스크립트 다운로더가 IP 테이블 규칙을 변경시킴으로써 여러 포트들로부터 발생하는 네트워크 연결 시도(SSH, 텔넷, HTTP 등)를 전부 차단한다. 그러므로 피해자는 문제의 장비에 원격 접근을 할 수 없고, 따라서 유지 관리 및 복구도 하지 못한다. 이렇게 하여 해당 장비는 IZ1H9의 봇이 된다. 게이츠는 “이러한 공격 패턴을 통해 공격자가 가장 중요시 하는 건 장비를 최대한 오랜 시간 자기 수중에 두는 것임을 알 수 있다”고 말한다.

또한 이 IZ1H9에는 다른 봇넷 프로세스들을 찾아 종료하는 기능도 탑재되어 있다. 현재까지 발견된 미라이 변종의 다양한 프로세스 이름들까지도 포함되어 있어, 같은 미라이 계열이라고 해서 봐주거나 하는 것도 없음을 알 수 있다. “그러니까 IZ1H9 배후에 있는 자들은 오랜 시간 피해자의 장비를 자신이 독차지하려고 한다는 것도 알 수 있습니다. 이들은 다른 봇넷 프로세스가 발견되면 곧바로 종료시키고 자신의 프로세스를 생성합니다.”

미라이 변종 봇넷들, 어떻게 막나

미라이는 최초의 사물인터넷 봇넷으로도 악명이 높지만, 이제는 수많은 변종을 만들어내며 생명을 이어가는 것으로 더 악명이 높다. 2016년 소스코드 유출이 미라이를 불사신으로 만들었다. 원래의 미라이는 사물인터넷 장비의 비밀번호 중 디폴트 설정이 되어 있는 것을 브루트포스 방식으로 뚫어서 장비를 감염시켰는데, 변종들은 취약점 익스플로잇 기능까지 덧입었다. 새로 나온 변종일수록 많은 취약점을 익스플로잇 하는 게 가능하다.

그러므로 미라이 변종 멀웨어들로부터 네트워크 및 사물인터넷 장비를 보호하려면 제일 먼저 소프트웨어와 펌웨어를 최신화해야 한다고 보안 전문가들은 권장한다. 다만 이것만으로는 충분할 수 없는데, 사물인터넷 제조사들부터 펌웨어 업데이트를 제대로 하지 않는 경우가 많기 때문이다. 사용자가 최신화 패치를 하고 싶어도 할 수 없는 경우가 종종 있다. 다만 이 부분은 조금씩 개선되고 있기 때문에 향후에는 더더욱 유효한 전략으로서 자리매김할 것으로 기대된다.

차세대 방화벽과 위협 방지 도구를 사용함으로써 취약점 익스플로잇 현황을 실시간으로 파악할 수 있는 능력을 갖추는 것도 중요한 방어법이다. 고급 URL 필터링과 DNS 보안 솔루션을 통해 C&C 도메인으로부터의 트래픽을 차단하고 멀웨어를 호스팅한 URL들을 막는 것도 좋은 방법이라고 알려져 있다. 게이츠는 여기에 더해 각 사물인터넷 장비의 80, 22, 23 포트를 차단하는 것도 권장한다.

“어떤 장비든 인터넷과 직접 연결되어 있다면 이 세 가지 포트를 열지 않는 걸 추천합니다. 솔직히 저는 개인적으로 인터넷에 연결되어 있지 않은 장비라도 이 세 가지 포트는 늘 잠급니다. 장비를 사자마자 이 설정부터 진행하시는 게 봇넷 차단에 큰 도움이 됩니다.”

3줄 요약

1. 죽지 않는 미라이, 이번에 또 변종 하나가 출현.

2. 네 개의 취약점을 익스플로잇 하여 장비를 최대한 오래 장악하는 것이 공격자의 목적.

3. 디도스 공격에 초점이 맞춰져 있으나 다른 공격 기능 탑재도 가능.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=118756&page=1&mkind=1&kind=1)]​