2024-03-28 22:05 (목)
10만개 ‘좀비’로 구성된 새로운 유형의 미라이 봇넷 발견
상태바
10만개 ‘좀비’로 구성된 새로운 유형의 미라이 봇넷 발견
  • 길민권 기자
  • 승인 2017.12.05 14:31
이 기사를 공유합니다

aaaa-1.jpg
지난 11월 말, 해외 보안전문가들은 약 10만개 IP가 취약점이 존재하는 ZyXEL PK5001Z공유기를 대량으로 스캔하고 있다는 것을 발견했다. 이에 신규 미라이(Mirai) 변종이 빠르게 퍼지고 있다는 결론을 내렸다.

중국 360 Netlab보안연구원은 “공공데이터베이스에 발표된 PoC취약점을 이용하는 코드는 해당 봇넷 활동을 급증시키는 원인이다”라고 밝혔다.

PoC코드가 발표된 시간은 지난 10월 31일이며 ZyXEL PK5001Z공유기의 취약점(CVE-2016-10401, 2016년 1월 공개)을 촉발시켰다.

▲ ZyXEL PK5001Z공유기.
▲ ZyXEL PK5001Z공유기.
ZyXEL PK5001Z공유기에 사용되는 하드코딩 슈퍼사용자 비밀번호(zyad5001)는 루트 권한으로 상승시키는데 사용될 수 있다.

11월 22일 오전 11시부터 2323포트, 23포트의 스캔데이터가 급증했으며 약 10만개의 아르헨티나 IP의 대량 스캔 행위가 탐지 되었다. 스캔활동은 23일 낮에 최고치에 도달했다고 360 사이버보안연구원은 밝혔다.

연구원은 조사를 통해 이것을 새로운 유형의 미라이 변종으로 인정했다. 360사이버보안연구원은 허니팟을 통해 최근 2개의 텔넷 인증정보가 빈번하게 사용되는 것을 발견했다.

-admin/CentryL1nk

-admin/QwestM0dem

PoC코드는 이 두 개의 인증정보를 사용해 원격 ZyXE장비에 로그인한 후 하드코딩 된 슈퍼사용자 비밀번호를 사용했고 루트권한을 획득한다. 허니팟에서 발견된 남용 IP에는 중복된 출처들이 존재했다.

-admin/CentryL1nk : 1125개 IP에서 748개가 중복되어 중복률은: 66.5%

-admin/QwestM0dem : 1694개 IP에서 1175개가 중복되어 중복률은: 69.4%

중국 인테리전스 보안정보 전문기업 씨엔시큐리티(대표 류승우)는 “이것은 10만대의 장비로 구성된 미라이 봇넷이 취약점이 존재하는 ZyXEL장비를 검색하고 있다는 것을 설명한다. 이중 6.57만대의 ‘좀비’가 아르헨티나에 위치했다. 왜냐하면 현지 ISP Telefonica가 보급하는 장비에 기본 인증정보가 포함된 장비들이 존재하기 때문”이라며 “ZyXEL는 대만 기업이다. 전세계 네트워크장비 및 솔루션을 제공하는 업체이며 엔터프라이즈 사용자에게 DSL공유기 등 장비를 제공하고 있다. 이로 인해 대만지역이 이번 취약점에 영향을 받을 수 있다”고 설명했다.

미라이 봇넷프로그램은 지속적인 메커니즘을 갖추고 있지 않기 때문에 감염된 ZyXEL PK5001Z공유기 장비를 재부팅하면 해당 프로그램을 제거할 수 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★