Information Technology

IoT 환경을 위협하는 '리눅스 악성코드 Top 5'

coinAA 2021. 12. 6. 10:07

 

목차

     

    에이드라(Aidra, Lightaidra)

    에이드라는 2012년 2월 최초 발견되었으며 2011년 말 제작되었을 가능성이 높다. 최초의 사물인터넷 악성코드로 볼 수 있으며 기존 임베디드 리눅스 악성코드가 밉스 프로세스를 사용하는 인터넷 공유기만 공격 대상이었다면, 이 악성코드는 밉스 뿐 아니라 암(ARM), 밉셀(MIPSEL), 파워PC(PowerPC), 슈퍼H(SuperH) 등의 다양한 프로세스에서도 동작하게 제작되었다. IRC 봇 악성코드로 DDoS 공격 기능을 가지고 있으며 소스코드가 공개되어 다양한 변형이 존재한다.
    2014년 발견된 변형에는 경쟁 악성코드인 달로즈 제거 기능이 추가되었다.

     

    달로즈(Darlloz, Zollard)

    달로즈는 2013년 10월 발견된 사물 인터넷 웜으로 인텔 x86, 밉스, 암, 파워PC 등의 시스템을 감염시킬 수 있다.
    다른 악성코드가 주로 DDoS 공격 기능이 있는데 반해 이 악성코드는 비트코인 같은 가상 화폐 채굴 기능을 가지고 있다.

     

    가프지트(Gafgyt)

    가프지트는 2014년 8월에 존재가 처음 확인되었음 특히 2014년 말 리자드 스쿼드가 엑스박스 라이브(Xbox Live)와 플레이스테이션 네트워크(PlayStation Network)에 DDoS 공격을 할 때 이용하면서 유명해졌다. 2015년 1월 소스코드가 공개되어 현재 가장 많은 변형이 존재하고 있다.

     

    미라이(Mirai)

    미라이는 ‘미래’라는 뜻의 일본어 발음으로, 2016년 5월 처음으로 발견되었으며 2016년 10월 초 소스코드가 공개된 후 변형이 증가하고 있다. 2016년 9월 보안 블로그에 기록적인 DDoS 공격과 2016년 10월 호스팅 업체 딘에 대한 DDoS 공격으로 유명해졌다. 미라이는 UDP Flood, Syn Flood, ACK Flood, GRE IP Flood 등의 다양한 DDoS 공격 기능을 가지고 있다. 또한 2016년 10월 발견된 변형은 다른 악성코드인 달로즈를 제거하는 기능이 포함되어 있다.

     

    피엔스캔(Pnscan)

    피엔스캔은 2015년 8월 러시아 보안 업체 닥터웹(Dr. Web)에서 발견된 악성코드이다.  암(ARM), 밉스(MIPS), 파워PC(PowerPC) 시스템을 감염시키며 HNAP(Home Network Administration Protocol)와 CVE-2013-2678 등의 취약점을 공격한다.

     

    IoT 악성 코드 공통점

    IoT 악성 코드가 더욱 정교해지고 있지만 주로 DDoS 공격에 사용되고 있다는 사실에 착안하여 기존의 각종 악성 코드 군에서 확인된 몇 가지 공통점을 찾아볼 수 있다. 공격자들은 간단한 수법으로 악성 코드를 배포하기 시작한다. 일부 악성 코드 변종은 디바이스에 수동으로 설치해야 하지만, 텔넷 또는 SSH 포트가 열려 있는 IP 주소를 무작위로 검색한 다음 자주 사용되는 인증 정보로 무차별 로그인을 시도하는 방식이 가장 보편적으로 사용된다. 임베디드 디바이스에 적용된 CPU 아키텍처의 다양성 때문에 IoT 악성 코드에서 여러 아키텍처의 봇 실행 파일을 무작위로 다운로드하고 성공할 때까지 하나씩 실행하는 방식을 택할 수도 있다. 또는 기존 디바이스의 플랫폼을 검사하여 정확한 봇 이진 파일만 다운로드하는 모듈이 악성 코드에 포함될 가능성도 존재한다. 대표적인 공격 전술 중 하나는 wget 또는 tftp 명령을 사용하여 셸 스크립트(.sh)를 다운로드하고 이 스크립트를 통해 봇 이진 파일을 다운로드하는 것인데 시만텍이 발견한 한 셸 스크립트에서는 악성 코드 개발자가 서로 다른 아키텍처용 봇 이진 파일을 구별하기 위해 마약의 속칭을 사용하기도 했다.

    봇 이진 파일이 실행되면 하드 코딩된 C&C(명령 및 제어) 서버와 연결하고 원격 봇 마스터의 명령을 기다린다. 이 통신이 IRC 채널을 통해 수행되기도 하며 악성 코드가 원격 C&C 서버로 전송하는 트래픽을 암호화하는 기능이 포함되었을 수도 있다.