새롭게 발견된 미라이형 IoT 멀웨어 틴트, 제로데이 2개 공략 중

텐다에서 만든 라우터에서 발견된 제로데이 취약점 2개 익스플로잇 중
미라이를 기반으로 한 멀웨어...디도스 공격은 기본...민감한 정보 유출시키기도

[보안뉴스 문가용 기자] 미라이를 기반으로 한 새로운 봇넷이 등장했다. 이름은 틴트(Ttint)이며, 중국의 보안 업체인 치후360(Qihoo 360)이 발견해 발표했다. 틴트는 발견됐을 당시 텐다(Tenda)의 라우터 장비에서 발견된 제로데이 취약점 두 개를 익스플로잇 하고 있었다고 한다.

[이미지 = utoimage]

틴트는 일종의 원격 접근 트로이목마(RAT)로, 미라이(Mirai)를 기본으로 하고 있는 것만큼 디도스 공격 기능을 탑재하고 있다. 하지만 그 외에도 12개의 원격 접근 기능을 추가로 내포하고 있는데, 여기에는 소켓5(Socket5) 프록시 기능, 라우터 DNS 조작 기능, iptable 조작 기능, 시스템 명령어 실행 기능 등이 포함된다.

미라이 류 봇넷들이 생성하는 트래픽은 이제 탐지가 곧잘 되는 편에 속한다. 틴트의 개발자들은 이러한 점을 이해하고 있는 것처럼 보였다. 틴트는 탐지되는 것을 피하기 위해 WSS 프로토콜을 사용해 C&C 서버와 연락을 취한다. 또한 자신의 트래픽을 암호화 하는 것을 잊지 않는다.

이 봇넷의 활동이 제일 처음 발견된 건 2019년 11월의 일이다. 당시 공격자들은 텐다 라우터에서 발견된 제로데이 취약점인 CVE-2020-10987을 익스플로잇 하고 있었다. 그 다음 올해 8월부터는 두 번째 제로데이를 추가로 익스플로잇 하기 시작했다. 치후 360의 보고서에 의하면 텐다 측은 이 두 가지 제로데이에 대해 아무런 조치를 취하지도 않고 있으며, 답장도 없는 상태라고 한다.

“틴트 샘플들을 여러 가지로 비교 분석했을 때, C&C 구조가 정확히 일치한다는 걸 알 수 있었습니다. 즉 작년부터 시작된 공격이나 올해까지 이어지는 공격 모두가 동일한 방식으로 이뤄지고 있다는 것이죠. 한 가지 차이점은 제로데이가 늘어났다는 것뿐입니다.” 치후360 측의 설명이다.

틴트의 활동 내용 자체는 그리 복잡하지 않다는 게 치후360 측의 설명이다. “실행되면서 자가 삭제를 하고, 프로세스 이름을 바꾸며, 감시 장치를 조작하는 것이 거의 전부입니다. 피해자가 장비 재시작을 할 경우, 이를 방해하는 기능도 하나 있긴 있습니다. 틴트는 침투에 성공 후 C&C와 연결해 장비 정보를 먼저 보내고 명령을 기다립니다.”

틴트가 가지고 있는 특성들 중 대다수는 미라이에서 이미 한 번 발견됐던 것들이다. 프로세스 이름을 무작위로 짓는다든가, 설정 정보를 암호화 한다든가, 다량의 디도스 공격 기법을 지원한다든가, 한 번에 하나의 멀웨어 인스턴스만 실행시킨다든가 하는 게 바로 그것이다. 그러나 웹소킷 프로토콜을 사용한다는 점에서는 미라이와 차별된다.

공격자들은 틴트를 통해 다음과 같은 행위들을 할 수 있는 것으로 나타났다.
1) 라우터의 인트라넷을 원격에서 접근
2) 네트워크 접근 트래픽을 가로채 민감한 정보를 탈취
3) 트래픽 전달 규칙을 설정
4) 리버스 셸을 로컬 셸처럼 활용
5) 자가 업데이트 및 프로세스 삭제
6) C&C에서 전달되는 명령을 실행

틴트가 실행할 수 있는 명령은 총 22개인 것으로 분석됐다. 이 중 상당수가 디도스 공격을 위한 것이라고 한다. 텐다 라우터 사용자들이라면 펌웨어 업데이트 현황을 면밀하게 살펴 최대한 빨리 패치를 진행해야 한다. 치후360 측은 추가 조치를 취하도록 관련 침해지표를 공개하기도 했다.

3줄 요약
1. 새로운 미라이 기반 사물인터넷 멀웨어 발견됨. 이름은 틴트.
2.　미라이와 상당 부분 겹치지만, 웹소킷 프로토콜을 활용하는 등 새로운 모습도 있음.
3. 텐다의 라우터에서 발견된 제로데이 두 개를 익스플로잇 하고 있으나, 텐다 측은 아직 업데이트 없음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)