아시아권 겨냥한 또 다른 Socks5 공격, Gwmndy 봇넷 발견

파이버홈에서 만든 라우터만 노려...하루에 더도 덜도 말고 딱 200대만 감염
봇넷 구성하고 나서의 움직임 없어...공격자의 의도는 아직 알 수 없어

[보안뉴스 문가용 기자] 조금은 이상한 봇넷이 나타났다. 파이버홈(Fiberhome)에서 만든 라우터들을 표적 공격하고 있는데, 하루에 약 200대의 라우터가 봇넷에 추가되고 있다고 한다. 이를 처음 발견한 360넷랩(360 Netlab)에 의하면 “봇넷의 세계에서 200대는 정말 적은 숫자”라고 한다.

[이미지 = iclickart]

“보통 봇넷이라고 하면 최대한 많은 장비를 자신의 휘하에 두려고 하죠. 최대한의 피해를 입히고, 최대한 많이 감염시켜 숫자를 불리는 게 봇넷의 매커니즘입니다. 그런데 이 이상한 봇넷은 하루에 겨우 200개 정도만 편입시키고는 아무 것도 하지 않습니다. 마치 멀웨어 개발자가 그 정도면 됐다고 만족하는 것 같이 보입니다. 아마도 봇넷으로 하고자 하는 일이 조금은 다른 것 같습니다.”

실제로 이 봇넷은 보통 봇넷이 하는 일을 하지 않는다. 디도스 공격도 하지 않고, 암호화폐 채굴 코드를 퍼트리는 것도 아니며, 스팸 메일을 보내지도, 정보를 훔치지도 않는다. “유일하게 하는 일이라고는 라우터를 SSH 터널링 프록시 노드로 변환시키는 것입니다. 그리고 그렇게 하는 이유는 아직 드러나지 않고 있습니다.”

물밑에서
360넷랩이 분석한 바에 의하면 라우터들은 악성 실행파일에 의해 감염이 되고 있다. 보다 정확히 말하면 ELF 포맷의 파일이 범인이라고 한다. 문제의 ELF 파일이 어떤 식으로 장비에 도달하는지는 정확히 알려져 있지 않지만, 여러 가지 전형적인 기술들이 사용되었을 것으로 보인다.

“ELF 포맷으로 전달되는 멀웨어의 이름은 읽기도 힘든 Gwmndy입니다. Gwmndy가 어떤 방식으로 퍼지는지 아직 정확히 알 수는 없습니다만, 파이버홈의 라우터의 웹 시스템이 비밀번호와 관련된 취약한 부분을 가지고 있다는 것은 분명합니다. 게다가 원격 코드 실행 취약점들도 몇 가지 내포하고 있습니다.”

라우터에 설치되고 난 후 ELF 파일은 주기적으로 라우터의 정보를 수집한다. 로컬 SSH 포트, 셰도 비밀번호, 공공 IP 주소, 맥주소 등이다. 그런 후에는 이 정보를 원격의 웹 인터페이스로 업로드한다. “이런 정보들을 공격자가 가져가면, IP 주소가 바뀐 후라고 해도 장비를 장악할 수 있게 됩니다.”

그 외에도 Gwmndy는 장비에 백도어와 SSH 터널을 만든다. 동적 포트 포워딩을 하기 위함이다. 그런 후에는 Socks5 프록시 서비스를 로컬에서 생성하기도 한다. “공격자는 라우터에서 드롭베어(dropbear) 프로그램을 실행합니다. 드롭베어는 표준 OpenSSH를 대체하는 거라고 보면 됩니다. 그런 후에는 /fh/extend/userapp.sh 파일에 시작 명령을 추가합니다. 또한 vpnip와 rinetd라는 프로그램을 실행시킵니다.”

특이한 건 요 근래 Socks5를 사용하는 악성 멀웨어 및 공격 캠페인이 지속적으로 발견되고 있다는 것이다.
1) 보안 업체 프루프포인트(Proofpoint)가 시스템BC(SystemBC)라는 프록시 멀웨어를 발견했다(https://www.boannews.com/media/view.asp?idx=82000&page=1&kind=1)
2) 보안 업체 트렌드 마이크로(Trend Micro)가 새로운 미라이의 변종을 발견했는데, Socks5 프로토콜을 사용하는 기능이 포함되어 있었다(https://www.boannews.com/media/view.asp?idx=81996&kind=).
오늘 360넷랩이 발견한 것으로 이번 주에만 세 건의 Socks5 관련 악성 공격이 보도된 것.

360넷랩이 입수한 샘플에는 사용자 이름과 비밀번호가 하드코드 되어 있었다. 연구원들은 이를 통해 Gwmndy 웹 통계 페이지에 접속할 수 있었는데, 거기에는 431개의 맥주소와 422개의 IP 주소가 기록되어 있었다. 주로 필리핀과 태국에서 피해가 많았다. 프루프포인트가 발견한 Socks5 멀웨어 역시 아시아인들을 겨냥하고 있었다.

“이번 캠페인에 당한 장비는 전부 파이버홈에서 만든 AN5506였습니다. 이런 봇넷의 공격에 대항하려면 라우터의 소프트웨어 시스템을 최신화 하고, 로그인 크리덴셜을 강력한 것으로 바꿔야 합니다.”

3줄 요약
1. 파이버홈에서 만든 특정 라우터만 공격해 봇넷으로 만드는 캠페인 발견됨.
2. 그런데 하루에 추가되는 봇의 숫자는 겨우 200여대 정도. 숫자 차면 공격 중단.
3. 요 근래 아시아권에서 Socks5 프록시를 이용한 공격이 자주 발견되고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)