2024-11-24 07:15 (일)
새로운 미라이 악성코드 변종 ‘사토리’ 발견…225만개 디바이스 위험
상태바
새로운 미라이 악성코드 변종 ‘사토리’ 발견…225만개 디바이스 위험
  • 길민권 기자
  • 승인 2017.12.08 20:44
이 기사를 공유합니다

IoT 네트워크에서 웜처럼 스스로 자신을 전파시킬 수 있어

aa-2.jpg
신종 '사토리(Satori)' 악성코드가 발견되었다. 이스트시큐리티 측에 따르면 “사토리 악성코드는 최근 12시간동안 이미 28만개의 각기 다른 IP로 활성화 되어 있는 것을 확인했다. 이는 미라이(Mirai) 악성코드의 변종이기도 하다”고 밝혔다.

한편 미라이 봇넷의 사토리 변종은 지금까지 발견되었던 모든 미라이 악성코드들과 다르다. 지금까지 발견된 미라이 악성코드들은 IoT 디바이스들을 감염 시킨 후 텔넷 스캐너 모듈을 내려받아 다른 미라이에 감염된 호스트를 스캔한다. 하지만 사토리는 이러한 스캐너를 사용하지 않으며 두개의 exp를 사용해 37215와 52869번 포트로 원격 접속을 시도한다.

이러한 기능을 통해 사토리는 IoT 네트워크에서 웜처럼 자신이 스스로 자신을 전파시킬 수 있다.

관찰 결과, 12시간 동안 26만3천250개의 IP가 37215번 포트를 스캔했고 1만9천403개의 IP가 52869번 포트를 스캔했다고 밝혔다.

이스트시큐리티 측은 “이정도 규모의 봇넷은 매우 보기 드물며 사토리 악성코드가 이렇게 급속도로 유포될 수 있었던 것은 자가전파가 가능한 특징 때문이다. 이 자가전파 기능은 제로데이 취약점을 이용했을 것이라고 추측된다”며 “이러한 봇넷은 화웨이의 가정용 라우터 제로데이 취약점을 이용하며 이는 체크포인트가 지난 11월 말에 발견한 원격코드실행 취약점이다”라고 밝혔다.

해외 매체는 해당 exp와 관련된 세부 내용을 공유했으며, 쇼단(Shodan) 검색을 통해 그 영향성을 확인한 결과, 해당 취약점에 영향받는 디바이스들이 225만개가 넘는 것으로 확인되었다”고 밝혔다.

52869포트의 취약점은 Realtek 디바이스에서 발생했었던 오래된 취약점(CVE-2014-8361)을 이용하고 있다.

이스트시큐리티 측은 “Mirai Satori 변종과 이전까지 발견된 Mirai를 비교해 본 결과, 봇넷 중의 파일명, 정적특성 및 C2 프로토콜 등 일부 정보들이 유사한 것으로 확인되었다”고 전했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★