2018년 1월 금융 부문을 표적으로 삼은 미라이 변종 IoT 봇넷 [보고서]
주요 판단
- 첫 번째 공격은 2018년 1월 28일 18시 30분(UTC)에 발생했습니다. 같은 날, 같은 시간에 두 번째 금융권 기업에서 동일한 봇넷을 이용한 DDoS 공격이 발생했습니다. 몇 시간 후인 같은 날 2100시(한국 시간 기준)에 세 번째 금융권 기업에서도 유사한 DDoS 공격을 받았습니다.
- 초기 공격은 트래픽 양이 30Gb/s로 최고조에 달한 DNS 증폭 공격이었습니다. 이후 두 차례의 공격 규모를 파악할 수 있는 정보가 충분하지 않습니다.
- 이러한 공격이 IoTroop에 의해 수행되었다면, 2017년 10월 이후 봇넷이 추가적인 IoT 디바이스의 취약점을 악용하기 위해 진화했으며, 봇넷을 전파하고 더 큰 규모의 DDoS 공격을 용이하게 하기 위해 계속 진화할 가능성이 높다는 것을 알 수 있습니다.
- 새로운 봇넷 인프라의 공격 조정 및 스캔에 관여했을 가능성이 있는 봇넷의 컨트롤러로 평가되는 최소 7개의 IP 주소를 확인했습니다.
Executive Summary
인싯트 그룹은 2018년 1월 말 금융 부문에서 최소 한 곳 이상의 기업에 대한 공격에 IoTroop 또는 리퍼 봇넷과 연결된 것으로 추정되는 미라이 봇넷 변종이 활용되었다고 평가합니다. 이 평가는 타사 메타데이터와 기존 오픈 소스 인텔리전스를 기반으로 합니다. IoTroop은 주로 감염된 가정용 라우터, TV, DVR, IP 카메라로 구성된 강력한 사물 인터넷(IoT) 봇넷으로, MikroTik, Ubiquity, GoAhead 등 주요 벤더의 제품의 취약점을 악용합니다. 미라이 이후 디도스에 IoT 봇넷이 사용된 것이 관찰된 것은 이번이 처음이며, 작년에 처음 확인된 이후 피해자를 표적으로 삼는 데 IoTroop이 사용된 것은 이번이 처음일 수 있습니다.
배경
2017년 10월, 연구원들은 TP-Link, Avtech, MikroTik, Linksys, Synology, GoAhead 등의 회사에서 제조한 라우터와 무선 IP 카메라 등의 IoT 디바이스로 구성된 IoTroop라는 새로운 봇넷을 발견했습니다. IoTroop는 봇넷을 전파하는 데 사용된 멀웨어인 리퍼(Reaper)가 "유연한 루아 엔진과 스크립트를사용하여 구축되었기 때문에 이전 익스플로잇의 정적이고 사전 프로그래밍된 공격에 국한되지 않고 코드를 즉시 쉽게 업데이트할 수 있어 새로운 악성 공격이 발생하면 바로 대규모 봇넷을 실행할 수 있다는 점에서 독특합니다." 라고 설명합니다.
IoTroop 멀웨어는 최소 12개의 취약점을 악용할 수 있으며 공격자는 새로운 취약점이 노출되면 이를 업데이트할 수 있습니다. 이러한 공격에 사용된 봇넷과 IoTroop 봇넷에서 관찰된 공급업체, 기술 및 취약점의 전체 목록은 부록을 참조하세요.
2018년 2월, 네덜란드 경찰은 기술 사이트 트위커스와 인터넷 서비스 제공업체 트위크 등 여러 네덜란드 기업에 디도스 공격을 가한 혐의로 18세 남성을 체포했습니다. 이 남성이 금융기관을 대상으로 한 디도스 공격도 담당했다는 추측이 있지만, 경찰에서 그 연관성을 확인하지는 못했습니다.
체포된 개인은 네트워크 스트레스 테스트인 '스트레서' 구매를 가장해 9월 공격에 사용하기 위해 봇넷을 임대했던 것으로 보입니다. 이 남성이 1월에 관측된 공격의 배후에 있다면, 그 공격에도 미라이 변종 IoT 봇넷을 임대했을 가능성이 높습니다. 이 글을 게시하는 현재로서는 이 봇넷의 배후가 누구인지, 2018년 1월에 관찰된 공격을 누가 실행했는지는 알 수 없습니다.
위협 분석
최초의 금융 부문 기업 대상
이 봇넷은 각각 고유 IP 주소를 가진 최소 13,000개의 디바이스를 사용하는 최초의 금융 부문 기업을 표적으로 삼았으며 최대 30Gb/s의 트래픽을 발생시켰습니다. 인식트 그룹은 IP 지리적 위치, 쇼단의 서비스 배너, 추가 메타데이터를 사용하여 봇넷의 구성을 분석했습니다. 후보 컨트롤러 또는 봇 마스터는 통신 중인 봇넷 클라이언트의 수와 빈도에 따라 최종 후보로 선정되었습니다. 비정상적인 포트 사용을 기반으로 비정상적인 활동이 추가로 발견되었습니다.
분석 결과 첫 번째 기업 공격에 연루된 봇넷의 80%는 손상된 MikroTik 라우터로 구성되었으며, 나머지 20%는 취약한 Apache 및 IIS 웹 서버부터 Ubiquity, Cisco, ZyXEL의 라우터에 이르기까지 다양한 IoT 디바이스로 구성되었습니다. 또한 20%의 IoT 디바이스 중 웹캠, TV, DVR이 발견되었으며, 여기에는 MikroTik, GoAhead, Ubiquity, Linksys, TP-Link, Dahua와 같은 주요 공급업체의 제품이 포함되어 있습니다.
IoTroop 봇넷이 발견된 이후 MicroTik 라우터 취약점 및 익스플로잇의 향후 타임라인을 기록했습니다.
다양한 제조업체의 디바이스가 확산되고 있다는 것은 많은 IoT 디바이스의 공개된 취약점을 활용하는 봇넷이 광범위하고 빠르게 진화하고 있음을 시사합니다. 2017년 10월에 발표된 연구에는 많은 IoT 공급업체와 디바이스가 등장했지만, Dahua CCTV DVR, 삼성 UE55D7000 TV, Contiki-기반 디바이스와 같은 많은 디바이스는 이전에는 Reaper/IoTroop 멀웨어에 취약한 것으로 알려지지 않았습니다.
2016년 9월 미라이 공격 이후 IoT 봇넷과 멀웨어의 확산에 대한 향후 타임라인을 기록했습니다.
침해된 모든 MikroTik 디바이스는 일반적으로 MikroTik의 대역폭 테스트 서버 프로토콜을 위해 예약된 TCP 포트 2000이 열려 있었습니다. 이 포트는 일반적으로 새 MikroTik 디바이스에서 기본적으로 활성화됩니다. 봇넷 내에서 TCP 2000이 비활성화(프로덕션 환경에서 권장되는 보안 조치)된 MikroTik 디바이스는 발견되지 않았습니다.
아래는 봇넷의 지리적 분석을 보여주는 그래픽입니다:
금융 서비스 부문을 노리는 IoT 봇넷 클라이언트의 전 세계 분포, 2018년 1월(Microsoft Excel을 통한).
그래픽에서 볼 수 있듯이 봇넷 클라이언트의 지리적 분포는 러시아, 브라질, 우크라이나에 크게 편중되어 있습니다. 이는 봇넷 구성과 관련된 특정 사항이라기보다는 해당 국가에서 마이크로틱 디바이스의 인기를 반영하는 것일 가능성이 높습니다. 데이터에 나타난 국가는 총 139개로, 전 세계적으로 취약한 IoT 디바이스가 광범위하게 표적이 되고 있음을 알 수 있습니다. 이 분포는 브라질이 두 봇넷의 상위 5개 봇넷 클라이언트 목록에 포함된 유일한 국가였던 오리지널 미라이 봇넷과는 달랐습니다.
봇넷의 명령 및 제어 서버(또는 "컨트롤러")로 추정되는 다수의 IP를 발견하고 고객이 이러한 컨트롤러를 추적할 수 있도록 '기록된 미래 위협 목록'을 만들었습니다. 액세스 권한은 인텔리전스 서비스 담당자에게 문의하세요.
다음 IP 주소는 봇넷 컨트롤러의 후보입니다. 볼륨만으로는 컨트롤러의 지표가 될 수 없지만, 아래 IP는 추가 데이터를 기반으로 추가적인 신뢰도를 확보할 수 있는 IP입니다.
98.95.228.104: 첫 번째 금융 부문 기업을 대상으로 관찰한 모든 활동의 34%에는 이 IP를 오가는 UDP DNS 요청이 포함되어 있었습니다.
71.68.32.251: 마찬가지로, 첫 번째 회사에서 이 IP로 많은 양의 활동이 오가는 것을 관찰했습니다.
213.160.168.18: 이 IP에 대한 구체적인 위협 데이터는 관찰되지 않았지만, 역사적으로 멀웨어 배포 및 의심스러운 프록시와 연결된 /24 범위의 일부입니다.
84.47.111.62: 볼륨 및 패턴 분석에 따르면 상위 컨트롤러일 가능성이 높습니다.
다음 두 IP는 모두 슬로바키아어입니다. 두 가지 모두 예측 위험 모델을 트리거했기 때문에 기록된 미래 위험 점수가 약간 상승했습니다.
87.197.166.13 및 87.197.108.40: 이 두 IP와 몇몇 컨트롤러 간에 대량의 데이터가 교환되는 것을 관찰했습니다. 저희는 이것이 기본 컨트롤러이거나 최소한 소스에 한 홉 더 가까워진 컨트롤러일 수 있다고 생각합니다.
62.204.238.82: 이 IP는 원래 디도스 공격에 연루된 13,000개의 IP 중 하나였습니다. 체코로 확인되며 메타데이터 분석에서 생성된 트래픽의 거의 3%를 차지합니다. 조사 기간 동안 이 IP가 프랑스에 있는 세 개의 의심스러운 인터넷 릴레이 채팅(IRC) 서버(149.202.42.174, 51.255.34.80, 5.196.26.96)에 반복적으로 연결되는 것을 관찰했습니다. 이 세 개의 의심스러운 IRC 서버는 모두 Recorded Future의 예측 위험 모델을 트리거했습니다.
두 번째 금융 부문 기업 대상
또한, 2018년 1월 27일부터 1월 28일까지 같은 주말에 두 번째 금융 부문 기업도 디도스 공격의 표적이 된 것으로 확인되었습니다. 봇넷 인프라 사용과 공격 시기가 겹치는 것으로 보아 이번 공격은 동일한 미라이 변종 IoT 봇넷을 사용하여 수행된 것으로 추정됩니다.
분석 과정에서 두 번째 회사가 같은 날 동일한 미라이 변종 IoT 봇넷의 표적이 되었을 가능성이 높다는 증거를 발견했습니다. 추가 분석을 통해 두 번째 기업의 IP 주소가 26개의 고유 IP 주소와 통신했으며, 이 중 19개는 첫 번째 금융 부문 기업에 대한 공격에 관여한 것으로 확인되었습니다.
세 번째 금융 부문 기업 대상
또한 2018년 1월 28일, 불과 몇 시간 후인 2100시경(한국 시간 기준)에 한 금융권 기업의 네트워크에서 매우 많은 양의 TCP 443 이벤트가 발생한 것을 발견했습니다. 이 활동의 기술적 세부 사항은 현재 원본 DDoS와 비교할 수 없지만, 시간적으로 근접한 것으로 보아 연관성이 있을 가능성이 있습니다.
전망
이러한 공격은 지속적으로 진화하는 봇넷으로 인한 금융 부문에 대한 DDoS의 지속적인 위협을 강조합니다. IoTroop/Reaper 봇넷과 디바이스 구성이 유사하다는 점은 IoTroop이 추가 IoT 디바이스의 취약점을 악용하도록 진화했으며 앞으로도 금융 부문에 대한 대규모 DDoS 공격을 위해 봇넷을 구축하기 위해 계속해서 취약점을 악용할 가능성이 높다는 것을 시사합니다.
IoTroop의 지속적인 금융 기관 표적 공격에 대한 더 많은 데이터가 밝혀짐에 따라, 추가 공격에 대비하여 잠재적인 컨트롤러를 모니터링하고 봇넷에 추가되는 새로운 IoT 디바이스를 식별하는 것이 점점 더 중요해질 것입니다.
레코디드 퓨처 고객은 게시된 봇넷 컨트롤러의 위협 목록을 구독하여 악의적인 활동을 추적하는 것이 좋습니다. 이러한 컨트롤러는 봇넷 클라이언트로 전송되는 서비스 거부 공격 명령을 담당할 뿐만 아니라 새로운 취약한 IoT 인프라를 공격적으로 검색하여 이를 탈취할 가능성이 높습니다.
또한 IoT 디바이스 사용자는 다음과 같은 간단한 조치를 취하여 디바이스가 IoT 봇넷에 의해 징발될 위험을 완화할 것을 권장합니다:
- 항상 사용 즉시 기본 제조업체 비밀번호를 교체하세요.
- 디바이스의 펌웨어를 최신 상태로 유지하세요.
- 원격 액세스가 필요한 IP 카메라 및 유사 시스템의 경우 VPN에 투자하세요.
- 불필요한 서비스(예: 텔넷)를 비활성화하고 IoT 장치에 필요하지 않은 포트는 닫습니다.
관련