전 세계 수천 대의 오래된 아수스(ASUS) 라우터를 노리는 변종 더문(TheMoon) 멀웨어가 다시 등장했다. 악명 높은 봇넷인 더문의 재등장으로 약 6천대의 라우터가 감염된 것으로 조사됐다.
2014년에 처음 발견된 더문 멀웨어는 라우터와 IoT 디바이스의 취약점을 악용해 봇넷 네트워크를 구축하는 등 수년에 걸쳐 진화해 왔다. 최근의 더문은 알려진 취약점과 잠재적으로 취약한 자격 증명을 활용해 아수스 라우터에 집중적으로 침투했다. 일단 감염되면 이 멀웨어는 은밀하게 작동하여 제어권을 확보하고 탐지를 회피하기 위해 일련의 작업을 실행한다.
특히 우려되는 점은 사이버 범죄자들이 활동을 익명화하기 위해 사용하는 플랫폼인 페이스리스 프록시 서비스와의 연관성이다. 페이스리스는 손상된 라우터를 프록시로 활용하여 악의적인 공격자가 온라인에서 자신의 존재를 숨기고 멀웨어 배포, DDoS 공격, 데이터 유출과 같은 불법 활동을 용이하게 할 수 있도록 한다.
더문 멀웨어의 작동 방식
감염 과정은 더문이 취약점 또는 취약한 자격 증명을 악용하여 아수스 라우터에 액세스하는 것으로 시작한다. 침투하면 멀웨어는 일련의 단계를 실행하여 제어권을 확보한다:
△탐지 및 실행: 악성코드는 호환 가능한 셸 환경을 검색하고 페이로드를 배포하여 감염된 디바이스에 지속적으로 존재한다.
△트래픽 조작: 이 악성코드는 들어오는 트래픽을 조작하도록 구성해 감염된 디바이스를 외부 간섭으로부터 보호하는 동시에 프록시로서의 역할을 수행한다.
△명령 및 제어(C2) 서버와의 통신: 이 악성코드는 C2 서버와 통신을 설정하여 명령을 수신하고 추가 구성 요소를 검색하여 기능을 확장할 수 있다.
더문 및 이와 유사한 위협으로 인한 위험을 완화하기 위해 사이버 보안 전문가는 사전 조치를 취해야 한다.
네트워크 디바이스에 대한 무단 액세스를 방지하기 위해 강력한 비밀번호 정책을 시행해야 하고 펌웨어를 정기적으로 업데이트해 알려진 취약점을 해결하고 디바이스 보안을 강화해야 한다.
그리고 네트워크 모니터링 도구를 사용해 의심스러운 트래픽 패턴이나 무단 액세스 시도와 같은 이상 징후를 감지하고 디바이스의 수명이 다해 제조업체에서 더 이상 지원하지 않는 경우, 보안 위험을 완화하기 위해 적극적으로 지원되는 모델로 교체하는 것이 안전하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★