이 변종은 기존 미라이 코드에 포함되어 있는 일부 구성을 추가 또는 삭제했지만, 공격, 킬러, 스캐너 모듈 등 기존의 미라이 모듈을 그대로 사용하고 있다.
해외 연구원들은 "OMG 봇넷은 기존의 미라이 악성코드와 동일한 공격 작업을 수행할 수 있다. 예를 들어 열린 포트를 확인해 텔넷, ssh, http와 관련된 프로세스 및 다른 봇들과 관련된 프로세스를 중단시킬 수 있다. 또는 텔넷 무작위 대입 공격, 디도스 공격 등도 수행할 수 있다"고 설명했다. 그러나 OMG 봇넷의 주요 목적은 프록시 기능이다.
해커들은 해킹 및 다른 악성 작업을 실행할 때 익명으로 수행하기 위해 프록시를 사용한다. 프록시 서버를 이용해 금전을 탈취하는 방법 중 하나는 다른 해커들에게 OMG가 이용하는 접근 권한을 판매하는 것이다.
OMG 공격자들은 프록시를 제대로 동작시키기 위해, 생성된 포트를 통해서도 트래픽을 전송할 수 있는 방화벽 룰을 추가했다. 기존의 방화벽 룰을 삭제하고 새로운 내용을 추가하기 위한 명령이 포함된 두 개의 문자열을 구성 테이블에 추가했다. 이 방화벽 룰을 적용하면, 랜덤으로 생성된 HTTP 및 SOCK 포트를 통해 트래픽을 전송하는 것이 가능해진다. 이를 통해 코드에 포함된 공격자들이 미리 정의한 구성으로 프록시가 설정된다.
OMG 봇넷이 디도스 공격을 수행하고 취약한 IoT 기기에서 프록시 서버를 구성할 수 있는 최초의 미라이 변종이지만, 앞으로 이러한 변종들이 계속해서 나올 것으로 전문가들은 예상하고 있다.
연구원들에 따르면, 미라이 봇넷의 소스코드가 공개 된 후 IoT 기기를 위협하는 다수의 미라이 변종과 공격들이 발견되고 있다. 이러한 변종들은 기존 텔넷 무작위 대입 공격 외에도 여러 새로운 공격 기법을 도입하고 공격 범위를 확장함으로써 더욱 진화했다.
또한 이러한 미라이 변종 공격자들이 금전 탈취를 위해 새로운 공격 기법을 사용한 징후도 다수 발견되었다. 미라이는 원래 디도스 공격을 수행하기 위해 제작되었지만, 이후에 등장한 변종들은 암호 화폐 채굴을 위해 취약한 이더리움 채굴기를 공격하는 데 사용되었다. [정보. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★