미라이의 새로운 변종 등장, 이름은 위키드

입력 : 2018-05-18 11:37

미라이와 달리 다양한 익스플로잇 탑재한 업그레이드 버전
미라이 변종 다수 만든 개발자가 위키드도 만들었을 가능성 높아

[보안뉴스 문가용 기자] 미라이(Mirai)라는 사물인터넷 봇넷 멀웨어의 새로운 변종이 등장했다. 새로운 익스플로잇들을 탑재한 것으로 보안 업체 포티넷(Fortinet)이 발견했다. 이 새 버전의 이름은 위키드(Wicked)로 이전 미라이 변종을 개발한 자가 이번 업그레이드도 주도한 것으로 보인다.


미라이 봇넷 멀웨어가 처음 발견된 건 2016년 3사분기의 일이다. 당시 사물인터넷 기기들로만 구성된 봇넷의 최초 출현으로 큰 주목을 받았었다. 사상 최대의 디도스 공격이 미라이를 통해 이뤄지기도 했다(지금은 기록이 깨진 상태다). 그리고 그 해 10월 미라이의 소스코드가 온라인에서 공개됐으며, 그 후 꾸준히 마수타(Masuta), 사토리(Satori), 오키루(Okiru) 드의 변종들이 나오고 있는 상태다.

위키드는 기존 미라이와 마찬가지로 세 개의 핵심 모듈인 공격(Attack), 킬러(Killer), 스캐너(Scanner)를 가지고 있다. 그러나 기존 미라이가 사물인터넷 기기들의 디폴트 크리덴셜을 노린 브루트포스 공격으로 침투한 반면, 위키드는 공개된 다른 취약점들의 익스플로잇을 시도한다.

포티넷에 따르면 위키드는 포트 8080, 8443, 80, 81번을 스캔해 로우 소켓 SYN 연결(raw socket SYN connection)을 성립한다. 연결에 성공하면 장비 익스플로잇을 시도한 후, 소켓에 익스플로잇 문자열을 써 넣음으로써 페이로드를 업로드시킨다. 어떤 포트로 연결이 되었는지에 따라 사용하는 익스플로잇이 달라진다.

“포트 8080과 연결이 되었다면 Netgear DGN1000와 DGN2200 v1 라우터의 익스플로잇을 시도합니다. 이는 리퍼(Reaper)라는 봇넷이 사용하는 익스플로잇이기도 합니다. 포트 81과 연결이 되었을 경우, CCTV-DVR 원격 코드 실행 익스플로잇을 실시합니다. 포트 8443과 연결이 되었을 경우는 Netgear R7000과 R6400 명령 주입 취약점(CVE-2016-6277)을 익스플로잇 합니다. 포트 80과 연결이 되었다면 침해된 웹 서버에서 인보커 셸(invoker shell)을 사용합니다.”

위키드는 소라로더(SoraLOADER)라는 문자열을 포함하고 있다. 소라 봇넷(Sora botnet)이 떠오르는 부분으로, 포티넷은 “위키드 제작자들이 소라 봇넷을 확장시키려는 의도를 가지고 있었던 것으로 보인다”고 분석했다. 그러나 실제 위키드는 또 다른 미라이의 변종인 오와리(Owari) 봇넷을 다운로드시키는 악성 도메인과 연결되어 있다. 현재 해당 도메인에서는 오와리 대산 옴니(Omni)라는 봇넷 멀웨어가 배포되는 중이다.

이렇게 위키드를 조사하다보니 소라, 오와리, 옴니라는 봇넷들의 흔적들이 속속 나오기 시작했다. 포티넷은 이 넷의 관련성을 파헤치다가 소라와 오와리의 개발자라고 자처한 한 인물의 인터뷰를 발견할 수 있었다. 그는 스스로를 ‘위키드’라는 이름으로 소개하고 있었다. 당시 인터뷰를 통해 위키드는 “소라 봇넷은 버려진 상태”라고 밝혔으며, “오와리 작업은 진행 중에 있다”고 설명하기도 했다. 해당 인터뷰는 여기(https://blog.newskysecurity.com/understanding-the-iot-hacker-a-conversation-with-owari-sora-iot-botnet-author-117feff56863)서 열람 가능하다(영문).

이러한 정보를 조합해 포티넷은 “소라와 오와리 봇넷의 위협은 현재로서는 사실상 사라진 상태”라고 보고 있다. 또한 “위키드 개발자는 현재 옴니 프로젝트에 열중하고 있다”고 결론을 내렸다. “위키드, 소라, 오와리, 옴니를 개발한 건 모두 동일 인물입니다. 그가 현재 집중하고 있는 건 옴니이고, 위키드는 원래 소라 봇넷을 확장하기 위한 도구로 기획되었으나 차후에 옴니로 목적이 바뀐 듯 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...