Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[동향] 최신 취약점으로 무장한 IOT/Linux 봇넷
작성일 2018-09-28 조회 1210
 
 
 
Mirai Botnet 이후에 Satori Botnet이 생겨나고 지속적으로 Botnet은 발전하고 있습니다.
최근에 당사 허니넷을 통해 신종 Botnet을 파악하였습니다.
 
신종 Botnet의 경우 기존 Botnet이 사용하는 취약점 뿐만아니라,
공개된지 3일이 지나지 않은 NUUO NVRMini2 취약점을 이용하는 것을 확인하였습니다.
- 2018년 9월 17일 공개, 취약점이용 확인 9월 20일
 
 
이외에 SonicWall 취약점을 추가로 이용하고 있습니다.
 
Botnet 에서 이런 n-day Attack 을 이용한 공격을 한다는 것은 시사하는 바가 매우 큽니다.
 
사용자들의 빠른 패치를 하지 않을 경우 악의적인 Botnet에 감염 될 수 있으며,
Botnet의 특징인 "전파" 기능을 통해 피해는 기하 급수적으로 커질 것입니다.
 
당사에서는 해당 Botnet을 Cryptomining Campaign 으로 명명하여 추적하였습니다.
 
 
Cryptomining Campaign 은 총 3가지 기능을 가지고 있습니다.
 
Botnet 감염, 암호화폐채굴, Botnet 전파
 
 
감염을 위해서 11개의 취약점을 사용합니다.
 
 
Cryptomining Campaign 에서 사용하는 취약점
 
1) NUUO NVRMini2 Exploit
   - CVE-2018-1149
   - PHPSESSID 쿠키에 있는 세션 식별자를 적절하게 확인하지 않아서 발생
  
 
2) Linksys E-series Exploit
   - CVE 코드 미존재
   - ttcp_ip 매개변수로 입력 된 값에 대한 부적절한 유효성 검사로 인해 발생
 
   
3) Vacron NVR Exploit
   - CVE 코드 미존재
   - 기존 Botnet 과 다르게 GET 방식에서 POST로 변형
   - board.cgi를 통해 전달되는 인자를 제대로 검증하지 않아 발생
 
 
4) TVT Digital DVR Exploit
   - CVE 코드 미존재
   - Amnesia Botnet 에서 악용
   - URL로 전달되는 IFS(Internal Field Separator) 문자열에 부적절한 처리로 인해 발생
   
 
5) EnGenius EnShare Exploit
   - CVE 코드 미존재
   - usbinteract.cgi 의 path 변수에 적절한 검증이 존재하지 않아 발생
   
   
6) AVTECH IP Camera Exploit
   - CVE 코드 미존재
   - Search.cgi에서 ip, port, queryb64str 매개변수의 값을 적절하게 검증하지 않아서 발생
 
   
7) D-Link Exploit_1
   - CVE 코드 미존재
   - 이전과 다르게 더블쿼터(") 미존재하며, 악용 가능하도록 변경
   - SOAPAction 사용시 인증과정이 부적절하게 진행되어 발생
 
 
8) D-Link Exploit_2
   - CVE 코드 미존재
   - Cli 매개변수의 인수가 적절한 검증 없이 전달되어 발생   
 
   
9) MVPower DVR CCTV Exploit
   - CVE 코드 미존재
   - DVR Shell 사용에 대한 적절한 검증이 존재하지 않아 발생
 
   
10) SonicWall XMLRPC Exploit
   - CVE-2018-9866
   - TimeZone 항목에 대해 적절한 인증 절차 및 검증이 존재하지 않아 발생
   
   
11) NetGain Enterprise Exploit
   - CVE 코드 미존재
   - exec.jsp를 실행할 때 전달되는 데이터를 적절하게 처리하지 못하여 발생
 
 
감염이 성공적으로 진행되면,
암호화폐 채굴과 Botnet 전파를 위해 worldwest.sh 스크립트를 이용 합니다.
- wget 명령어를 통해 파일 다운로드 진행
 
[그림1. worldwest.sh 내역]
 
 
암호화폐 채굴을 위해 miner.sh 스크립트를 추가 다운로드 합니다
해당 스크립트를 통해 모네로 암호화폐를 채굴하여 185.10.68.163:8080 사설 서버로 모은 후에
실제 암호화폐를 지불해주는 곳으로 넘기는것으로 판단 됩니다.
추가적으로 /.bashrc에 마이닝 구문을 추가하여 지속적으로 채굴되게 설정 합니다.
 
[그림2. miner.sh 내역]
 
 
Botnet 전파를 위해 scanner.sh 스크립트를 추가 다운로드 합니다.
해당 스크립트를 통해 Botnet 전파를 위한 Scan 된 대상에 대해 Botnet 감염을 시도 합니다.
tcpconnect_zmap 을 통해 대상 서버를 확인 하고, bruteforce_ssh 를 이용하여 취약점을 이용한 감염을 시도 합니다.
 
[그림3. scanner.sh 내역]
 
 
bruteforce_ssh 파일에서는 사전에 정의된 SSH 계정 정보를 확인 하였습니다.
해당 정보를 이용하여 BruteForce 공격을 시도하는 것으로 판단 됩니다.
 
 
[그림4. 사전에 정의된 계정 정보]
 
 
전체적인 순서는 아래와 같습니다.
 
1) worldwest.sh 파일을 다운로드하여 /tmp/nemp 로 실행
2) miner.sh, scanner.sh 를 추가적으로 다운로드
3) miner.sh 를 통해 xmring, cnring 을 통하여 암호화폐를 채굴
3-1) /.bashrc 에 마이닝 관련 구문을 추가하여 지속적으로 채굴되게 설정
4) scanner.sh 를 통해 tcpconnect_zmap, bruteforce_ssh 를 다운로드
4-1) tcpconnect_zmap 을 통해 서버를 확인 한 후에 bruteforce_ssh 를 이용하여 취약점을 이용한 공격 시도 및 SSH 접근 시도
 
 
Cryptomining Campaign 취약점 탐지 현황
   - 185[.]232[.]64[.]161(루마니아) IP 에서 지속적인 Botnet 전파 시도가 탐지되고 있습니다.
 
   
[그림 5. 9월 24일 ~ 28일 185.232.64.161 탐지 현황]
 
 
 
Cryptomining Campaign 취약점 대응 현황
 
1) NUUO NVRMini2 Exploit
   [IPS] 4470 NUUO NVRMini cgi_system RCE
   [IPS] 4471 NUUO NVRMini cgi_system RCE.A
 
   
2) Linksys E-series Exploit
   [IPS] 5964 NETGEAR DGN setup.cgi RCE
   [IPS] 6015 NETGEAR DGN setup.cgi RCE
   
3) Vacron NVR Exploit
   [IPS] 4026 Vacron NVR board.cgi RCE
   [IPS] 4027 Vacron NVR board.cgi RCE.A
   [IPS] 4466 Vacron NVR board.cgi RCE.B
 
4) TVT Digital DVR Exploit
   [IPS] 3487 TVT Digital DVR devices RCE
 
   
5) EnGenius EnShare Exploit
   [IPS] 4472 EnGenius EnShare usbinteract.cgi RCE
   
   
6) AVTECH IP Camera Exploit
   [IPS] 4468 AVTECH IP Camera Search.cgi RCE
 
   
7) D-Link Exploit_1
   [IPS] 3413 D-Link HNAP1 GetDeviceSettings RCE
 
 
8) D-Link Exploit_2
   [IPS] 4357 D-Link login.cgi OS Command Injection
   [IPS] 4358 D-Link login.cgi OS Command Injection.A
   [IPS] 4475 D-Link login.cgi OS Command Injection.B  
 
   
9) MVPower DVR CCTV Exploit
   [IPS] 4038 MVPower DVR CCTV Shell RCE
   [IPS] 4474 MVPower DVR CCTV Shell RCE.A
   
10) SonicWall XMLRPC Exploit
   [IPS] 4464 SonicWall XMLRPC SetTimeZone RCE
   [IPS] 4465 SonicWall XMLRPC SetTimeZone RCE.A
   
   
11) NetGain Enterprise Exploit
   [IPS] 4469 NetGain Enterprise Manager exec.jsp RCE
 
 
Cryptomining Campaign 은
 
일반적인 Botnet의 형태인 감염된 컴퓨터를 모으는 것 뿐만 아니라 Worm 처럼 "전파" 를 하기 때문에 짧은 시간 동안 엄청나게 큰 Botnet을 만들려고 시도하고 있습니다.
 
실제 당사 허니넷에 공격자 IP로 확인되는 내역이 불특정 다수가 아니므로,
아직은 대규모의 Botnet을 생성 한 것으로 판단되지는 않습니다.
 
다만, 일부 최신 취약점 차용 및 기존 취약점을 변형하는 부분도 확인되었기 때문에 주의가 필요합니다.
- 대부분의 취약점을 Exploit DB 에서 공개한 POC를 그대로 사용
 
이전에는 대규모의 Botnet으로 DDoS 와 같은 공격에 악용 되는 경우가 많습니다.
이제는 DDoS 뿐만아니라 암호화폐 채굴에도 이용되고 있는 것을 확인 하였습니다.
 
암호화폐 시세에 따라 더욱더 이런 형태의 공격이 증가 될 것으로 생각 해 볼 수 있습니다.
 
 
 
WSEC에서는 변화하는 Botnet의 취약점에 대해 빠르게 분석 및 릴리즈 할 예정입니다.
 
 
IOC
 
IP
185[.]232[.]64[.]161
185[.]232[.]64[.]163
 
리눅스 실행 파일
bruteforce_ssh_arm c86cc841ad3f37c138b676b5a31aa5d5422d06e2a1d69f0fd62b6892fdaf574b
tcpconnect_zmap_386 a51578a7c0937e014b0ecfeefc18d291acfd59b54c5a77ff484b011d67bf38cc
tcpconnect_zmap_arm c588158cdb889b7f7e6df118acf3e1d4354d22e58ed0631e63ae1b368c8f33f8
bruteforce_ssh_386 6570e9d347e6cb0b4472f647481887a9e91930774c00f3025307079be21a9344
 
 
첨부파일 첨부파일이 없습니다.
태그 n-day Attack