Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향20종 이상의 IoT 취약점을 이용한 Mirai 변종 국내 활동
작성일 2018-12-12 조회 2482

Translation into English

Translation into Japanese (日本語への翻訳)

Translation into Chinese (翻译成中文)

 

 


2018년 5월 Mirai의 변종인 Omni botnet이 Dasan GPON 라우터 (CVE-2018-10561 (인증 우회) 및 CVE-2018-1562 (명령 주입)) 취약점을 추가한 것이 발견되었었습니다.


발견되었던 변종은 총 11가지 취약점 Exploit을 가지고 있었으며, 국내외에 많은 공격을 시도했었습니다.

 

 

또한 이 시기에는 다수의 Mirai 변종이 발견되었는데, Hakai 봇은 D-Link DSL-2750B OS Command Injection 취약점을 통합해 새로이 발견되기도 하였습니다.


최근에는 Hakai 2.0 봇이 국내에 많은 IoT기기를 감염시키고 있습니다.

 

2018년 9월에는 아파치 스트럿츠 취약점(CVE-2017-5638)이 포함된 첫 Mirai 변종이 발견되기도 하였습니다.

 

 

 

► IoT 봇넷 현황

 

2018년 12월 현재 새로운 Mirai 봇의 출현은 없었지만, 올 한해 발견된 봇들의 활동은 더욱 왕성해 지고 있습니다.
아파치 스트럿츠 취약점(CVE-2017-5638)이 포함된 Mirai는 현재까지 활발히 활동중입니다.

 

[그림.1] IoT 취약점 Scan 트래픽

 

 

대부분의 C&C 서버는 해외에 존재하고, 국내의 감염된 기기는 다양한 조합의 취약점 IoT봇을 내려받고 있습니다.

 

[그림. 2] C&C로 사용되는 해외 서버(RU)

 

 

현재 국내에 유입되고 있는 공격은 IoT 취약점을 통해 C&C로부터 실행 스크립트를 다운로드 받습니다.

 

[그림. 3] 취약점 공격을 통해 스크립트 다운시도

 

 

다운로드 된 스크립트는 C&C로부터 IoT 봇을 설치하는 명령어를 포함하고 있으며, 각 임베디드 환경에 맞춘 봇들을 제공합니다.

 


[그림. 4] 임베디드 환경별 봇 다운 및 설치

 

 

[그림. 5] 임베디드 환경별 봇 다운 및 설치

 

 


봇 다운로드 경로

 

http://181[.]174.166.164/bf.mips
http://94[.]177.231.48/neko.sh
http://185[.]101.107.148/neko.sh
http://195[.]62.53.38/netg.sh
http://194[.]182.76.15/neko.sh
http://213[.]183.53.120/netgear
http://srcdos[.]com/Kuso69/Akiru.arm7
http://94[.]177.216.74/sh
http://176[.]32.33.165/sh
http://80[.]211.203.234/bin

 

 


(1) Gafgyt Mirai Bot-1

 

File Name : Akiru.arm7
Sha-256 : 8cd0ecd6660b9c255126e9bee5d45518e4163f0e9c2c2640fe72af5f1bd8034d
VT : https://www.virustotal.com/#/file/8cd0ecd6660b9c255126e9bee5d45518e4163f0e9c2c2640fe72af5f1bd8034d

 

[그림. 6] 악성코드에 삽입된 취약점 소스코드

 

 

삽입된 취약점 리스트

♦ Vacron NVR Remote Command Execution (https://blogs.securiteam.com/index.php/archives/3445)
♦ NETGEAR R7000 / R6400 - 'cgi-bin' Command Injection (https://www.exploit-db.com/exploits/41598)
♦ D-Link Devices - UPnP SOAP TelnetD Command Execution (https://www.exploit-db.com/exploits/28333)
♦ MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution (https://www.exploit-db.com/exploits/41471)
♦ Multiple CCTV-DVR Vendors - Remote Code Execution (https://www.exploit-db.com/exploits/39596)
♦ D-Link Devices - HNAP SOAPAction-Header Command Execution (https://www.exploit-db.com/exploits/37171)
♦ Eir D1000 Wireless Router - WAN Side Remote Command Injection (https://www.exploit-db.com/exploits/40740)
♦ [CVE-2017-17215] Huawei Router HG532 - Arbitrary Command Execution (https://www.exploit-db.com/exploits/43414)
♦ Netgear DGN1000 1.1.00.48 - 'Setup.cgi' Remote Code Execution (https://www.exploit-db.com/exploits/43055)
♦ Realtek SDK - Miniigd UPnP SOAP Command Execution (https://www.exploit-db.com/exploits/37169)
♦ [CVE-2018-10562/CVE-2018-10561]GPON Routers - Authentication Bypass / Command Injection (https://www.exploit-db.com/exploits/44576)

 

[그림. 7] 삽입된 취약점 페이로드

 

 


(2) Gafgyt Mirai Bot-2

 

File Name : seraph.arm7
Sha-256 : 3852060f68bd9ccd7ca3c356acc7028b2121bda579310cd2b89af36f31ba3ec8
VT : https://www.virustotal.com/#/file/3852060f68bd9ccd7ca3c356acc7028b2121bda579310cd2b89af36f31ba3ec8

 

[그림. 8] 악성코드에 삽입된 취약점 소스코드

 

 

삽입된 취약점 리스트

♦ Linksys E-series - Remote Code Execution (https://www.exploit-db.com/exploits/31683)
♦ Vacron NVR Remote Command Execution (https://blogs.securiteam.com/index.php/archives/3445)
♦ D-Link Devices - 'command.php' Remote Command Execution (https://www.exploit-db.com/exploits/27528)
♦ Multiple CCTV-DVR Vendors - Remote Code Execution (https://www.exploit-db.com/exploits/39596)
♦ EnGenius EnShare IoT Gigabit Cloud Service 1.4.11 - Remote Code Execution (https://www.exploit-db.com/exploits/42114)
♦ AVTECH IP Camera / NVR / DVR Devices - Multiple Vulnerabilities (https://www.exploit-db.com/exploits/40500)
♦ [2017-6884] Zyxel, EMG2926 < V1.00(AAQT.4)b8 - OS Command Injection (https://www.exploit-db.com/exploits/41782)
♦ NetGain Enterprise Manager 7.2.562 - 'Ping' Command Injection (https://www.exploit-db.com/exploits/41499)
♦ NUUO NVRmini 2 3.0.8 - Multiple OS Command Injections (https://www.exploit-db.com/exploits/40212)
♦ Netgear DGN1000 1.1.00.48 - 'Setup.cgi' Remote Code Execution (https://www.exploit-db.com/exploits/43055)
♦ [CVE-2015-2051] D-Link Devices - HNAP SOAPAction-Header Command Execution (https://www.exploit-db.com/exploits/37171)
♦ D-Link DSL-2750B - OS Command Injection (https://www.exploit-db.com/exploits/44760)
♦ MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution (https://www.exploit-db.com/exploits/41471)
♦ [CVE-2018-10562/CVE-2018-10561] GPON Routers - Authentication Bypass / Command Injection (https://www.exploit-db.com/exploits/44576)
♦ [CVE-2017-5638] Apache Struts 2.3.5 < 2.3.31 / 2.5 < 2.5.10 - 'Jakarta' Multipart Parser OGNL Injection (https://www.exploit-db.com/exploits/41614)

 


[그림. 9] 삽입된 취약점 페이로드
 

 


(3) NUUO 타겟형 Mirai Bot 변종

 

File Name : bf.mips
Sha-256 : 0a5513998c4de65c4e26b09c48d897ea5ebaa838f54171c35cbd4dc3e20c0ecc
VT : https://www.virustotal.com/#/file/0a5513998c4de65c4e26b09c48d897ea5ebaa838f54171c35cbd4dc3e20c0ecc

 

[그림. 10] 악성코드에 삽입된 취약점 소스코드

 

 

삽입된 취약점 리스트

♦ Linksys E-series - Remote Code Execution (https://www.exploit-db.com/exploits/31683)
♦ EnGenius EnShare IoT Gigabit Cloud Service 1.4.11 - Remote Code Execution (https://www.exploit-db.com/exploits/42114)
♦ Unknown Exploit
♦ Vacron NVR Remote Command Execution (https://blogs.securiteam.com/index.php/archives/3445)
♦ NUUO NVRmini - 'upgrade_handle.php' Remote Command Execution (https://www.exploit-db.com/exploits/45070)
♦ [CVE-2016-5674] NUUO NVRmini2 / NVRsolo / Crystal Devices / NETGEAR ReadyNAS Surveillance Application Improper Input Validation (leading to remote code execution) (https://www.exploit-db.com/exploits/40200)
♦ NUUO NVRmini 2 3.0.8 - Remote Code Execution (https://www.exploit-db.com/exploits/40209)

 


[그림. 11] 삽입된 취약점 페이로드

 

 


► IoC

 

Malware Download Script

fb4bb0d01ddf2c17de7107f3d4abec2fdd947ff8f177eb3b93f3a1c22a28a7b5
def06bd5c16bfb5cc875741f847a4e8b2634747544efb50b0c9c5bbe5c12709f
700c9b51e6f8750a20fcc7019207112690974dcda687a83626716d8233923c17

 

C&C

181[.]174.166.164
94[.]177.231.48
185[.]101.107.148
195[.]62.53.38
194[.]182.76.15
213[.]183.53.120
srcdos[.]com/Kuso69
94[.]177.216.74
176[.]32.33.165
80[.]211.203.234

 

 

 

 

► 윈스 권고 대응 방안

 

IoT 취약점 탐지 패턴은 https://securecast.co.kr 에서 확인 가능합니다.

 

첨부파일 첨부파일이 없습니다.
태그