Home > 전체기사
아시아권 겨냥한 또 다른 Socks5 공격, Gwmndy 봇넷 발견
  |  입력 : 2019-08-07 09:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파이버홈에서 만든 라우터만 노려...하루에 더도 덜도 말고 딱 200대만 감염
봇넷 구성하고 나서의 움직임 없어...공격자의 의도는 아직 알 수 없어


[보안뉴스 문가용 기자] 조금은 이상한 봇넷이 나타났다. 파이버홈(Fiberhome)에서 만든 라우터들을 표적 공격하고 있는데, 하루에 약 200대의 라우터가 봇넷에 추가되고 있다고 한다. 이를 처음 발견한 360넷랩(360 Netlab)에 의하면 “봇넷의 세계에서 200대는 정말 적은 숫자”라고 한다.

[이미지 = iclickart]


“보통 봇넷이라고 하면 최대한 많은 장비를 자신의 휘하에 두려고 하죠. 최대한의 피해를 입히고, 최대한 많이 감염시켜 숫자를 불리는 게 봇넷의 매커니즘입니다. 그런데 이 이상한 봇넷은 하루에 겨우 200개 정도만 편입시키고는 아무 것도 하지 않습니다. 마치 멀웨어 개발자가 그 정도면 됐다고 만족하는 것 같이 보입니다. 아마도 봇넷으로 하고자 하는 일이 조금은 다른 것 같습니다.”

실제로 이 봇넷은 보통 봇넷이 하는 일을 하지 않는다. 디도스 공격도 하지 않고, 암호화폐 채굴 코드를 퍼트리는 것도 아니며, 스팸 메일을 보내지도, 정보를 훔치지도 않는다. “유일하게 하는 일이라고는 라우터를 SSH 터널링 프록시 노드로 변환시키는 것입니다. 그리고 그렇게 하는 이유는 아직 드러나지 않고 있습니다.”

물밑에서
360넷랩이 분석한 바에 의하면 라우터들은 악성 실행파일에 의해 감염이 되고 있다. 보다 정확히 말하면 ELF 포맷의 파일이 범인이라고 한다. 문제의 ELF 파일이 어떤 식으로 장비에 도달하는지는 정확히 알려져 있지 않지만, 여러 가지 전형적인 기술들이 사용되었을 것으로 보인다.

“ELF 포맷으로 전달되는 멀웨어의 이름은 읽기도 힘든 Gwmndy입니다. Gwmndy가 어떤 방식으로 퍼지는지 아직 정확히 알 수는 없습니다만, 파이버홈의 라우터의 웹 시스템이 비밀번호와 관련된 취약한 부분을 가지고 있다는 것은 분명합니다. 게다가 원격 코드 실행 취약점들도 몇 가지 내포하고 있습니다.”

라우터에 설치되고 난 후 ELF 파일은 주기적으로 라우터의 정보를 수집한다. 로컬 SSH 포트, 셰도 비밀번호, 공공 IP 주소, 맥주소 등이다. 그런 후에는 이 정보를 원격의 웹 인터페이스로 업로드한다. “이런 정보들을 공격자가 가져가면, IP 주소가 바뀐 후라고 해도 장비를 장악할 수 있게 됩니다.”

그 외에도 Gwmndy는 장비에 백도어와 SSH 터널을 만든다. 동적 포트 포워딩을 하기 위함이다. 그런 후에는 Socks5 프록시 서비스를 로컬에서 생성하기도 한다. “공격자는 라우터에서 드롭베어(dropbear) 프로그램을 실행합니다. 드롭베어는 표준 OpenSSH를 대체하는 거라고 보면 됩니다. 그런 후에는 /fh/extend/userapp.sh 파일에 시작 명령을 추가합니다. 또한 vpnip와 rinetd라는 프로그램을 실행시킵니다.”

특이한 건 요 근래 Socks5를 사용하는 악성 멀웨어 및 공격 캠페인이 지속적으로 발견되고 있다는 것이다.
1) 보안 업체 프루프포인트(Proofpoint)가 시스템BC(SystemBC)라는 프록시 멀웨어를 발견했다(https://www.boannews.com/media/view.asp?idx=82000&page=1&kind=1)
2) 보안 업체 트렌드 마이크로(Trend Micro)가 새로운 미라이의 변종을 발견했는데, Socks5 프로토콜을 사용하는 기능이 포함되어 있었다(https://www.boannews.com/media/view.asp?idx=81996&kind=).
오늘 360넷랩이 발견한 것으로 이번 주에만 세 건의 Socks5 관련 악성 공격이 보도된 것.

360넷랩이 입수한 샘플에는 사용자 이름과 비밀번호가 하드코드 되어 있었다. 연구원들은 이를 통해 Gwmndy 웹 통계 페이지에 접속할 수 있었는데, 거기에는 431개의 맥주소와 422개의 IP 주소가 기록되어 있었다. 주로 필리핀과 태국에서 피해가 많았다. 프루프포인트가 발견한 Socks5 멀웨어 역시 아시아인들을 겨냥하고 있었다.

“이번 캠페인에 당한 장비는 전부 파이버홈에서 만든 AN5506였습니다. 이런 봇넷의 공격에 대항하려면 라우터의 소프트웨어 시스템을 최신화 하고, 로그인 크리덴셜을 강력한 것으로 바꿔야 합니다.”

3줄 요약
1. 파이버홈에서 만든 특정 라우터만 공격해 봇넷으로 만드는 캠페인 발견됨.
2. 그런데 하루에 추가되는 봇의 숫자는 겨우 200여대 정도. 숫자 차면 공격 중단.
3. 요 근래 아시아권에서 Socks5 프록시를 이용한 공격이 자주 발견되고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)