임베디드리눅스기반 사물인터넷 (IoT) 보안위협동향 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : Ahn

Similar documents
< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

untitled

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

ìœ€íŁ´IP( _0219).xlsx

제20회_해킹방지워크샵_(이재석)

TGDPX white paper

Mirai Botnet

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

52 l /08

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 인도 웹해킹 TCP/80 apache_struts2_remote_exec-4(cve ) 183.8

OUTLINE 행사개요 행사명 Inside Bitcoins Conference & Expo 2015 장소 KINTEX 제 2전시장 3층 (회의실 301~304호) 행사시기 2015년 12월 9일(수) - 11일(금)ㅣ9일은

암호내지

<4D F736F F D20C1A4BAB8C5EBBDC5C1F8C8EFC7F9C8B8BFF8B0ED5FBDBAB8B6C6AEBDC3B4EBBAF22E727466>

*2008년1월호진짜

<C0CCC8ADC1F82E687770>

¹ö½º»ê¾÷_0817

ASEC REPORT VOL 년 4 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

UDP Flooding Attack 공격과 방어

pdf

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

Windows 8에서 BioStar 1 설치하기

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

07_alman.hwp

2017 년보안위협동향 기억해야할 2017 년보안위협 Top 랜섬웨어패러다임의변화 : 규모, 감염경로, 세대교체정상적인경로를이용한대범함, 공급망공격 돈이되는것을노린다? 돈 자체를노리다! 익스플로잇킷의숨고르기, 취약점공격은다변화모바일위협의고

<3132BFF93136C0CFC0DA2E687770>

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

PowerPoint 프레젠테이션

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

Microsoft PowerPoint - 권장 사양

Red Eyes Hacking Group 상세분석 안랩시큐리티대응센터 (ASEC) 분석연구팀 경기도성남시분당구판교역로 220 ( 우 ) 대표전화 : 팩스 : AhnL

SBR-100S User Manual

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터


ASEC REPORT VOL 년 1 분기 ASEC(AhnLab Security Emergency response Center, 안랩시큐리티대응센터 ) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된글로벌보안조직입니다. 이리포트는주식회사안

SBR-100S User Manual

, DVR. DVR. > > > " ". DVR.. ("wisenetlife.com" )? _

장거리 PoE 중계기 사용설명서 DA-LP1101R DA-LP1101T Powered by

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

PowerPoint 프레젠테이션

슬라이드 1

, DVR. DVR. > > > " ". DVR.. ("wisenetlife.com" )? _

Security Trend ASEC Report VOL.56 August, 2014

PowerPoint Template

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

WiseNet SmartCam 제품사용설명서 Copyright 2017 Hanwha Techwin Co., Ltd. All rights reserved. Trademark 여기에기재된상표는모두등록된것으로이매뉴얼에기재된이상품의이름과다른상표는각회사로부터등록된상표입니다. R

08_spam.hwp


Windows Live Hotmail Custom Domains Korea

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

45호_N스크린 추진과정과 주체별 서비스 전략 분석.hwp

1. PVR Overview PVR (Personal Video Recorder), CPU, OS, ( 320 GB) 100 TV,,, Source: MindBranch , /, (Ad skip) Setop BoxDVD Combo

Secure Programming Lecture1 : Introduction

PowerPoint Presentation

*****

유포지탐지동향


i4uNETWORKS_CompanyBrief_ key

제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 3 제 2 장인증서관리미흡악용사례 4 제 3 장코드서명인증서보안가이드 6 1. 인증서관리 7 2. 인증서관리시스템 8 3. 보안업데이트체계 9 4. 침해사고발생시사고대응체계 11 제 4 장코드서명인증서보안가이드항목해

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

PowerPoint 프레젠테이션

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

Secure Programming Lecture1 : Introduction

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

PowerPoint 프레젠테이션

슬라이드 1

Assign an IP Address and Access the Video Stream - Installation Guide

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

RHEV 2.2 인증서 만료 확인 및 갱신

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

스마트 TV 부상에따른시사점 스마트 TV 부상에따른시사점 * 1) TV TV TV TV, TV TV OS, TV, (CPU), TV TV 13 1/3, 1/2,, *, (TEL) ( ) 1) N OS

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

#WI DNS DDoS 공격악성코드분석

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

Microsoft PowerPoint - chap01-C언어개요.pptx

Microsoft PowerPoint - 10Àå.ppt

KISO저널 원고 작성 양식

Network seminar.key

<3132BFF93136C0CFC0DA2E687770>

토익S-채용사례리플렛0404

UI피피티

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

<4D F736F F D20BDBAB8B6C6AE545620BCD3BFA1BCADC0C720534E5320C6F7C1F6BCC5B4D720B9D720C0FCB7AB5FBCDBB9CEC1A42E646F63>

Transcription:

2016. 12. 06 임베디드리눅스기반 사물인터넷 (IoT) 보안위협동향 안랩시큐리티대응센터 (ASEC) 분석팀 경기도성남시분당구판교역로 220 ( 우 ) 13493 대표전화 : 031-722-8000 팩스 : 031-722-8901 www.ahnlab.com AhnLab, Inc. All rights reserved.

목차 소개... 3 임베디드리눅스그리고 IoT... 4 임베디드리눅스기반기기... 4 보안문제... 4 보안을고려하지않은설계... 5 백도어기능... 5 의도적정보유출... 5 위협... 6 사생활침해및정보유출... 6 설정변경 / 데이터조작... 7 악성코드감염... 7 주요임베디드리눅스악성코드... 8 하이드라 (Hydra)... 9 싸이봇 (Psybot)... 9 유텔텐드 (Uteltend, 척노리스봇 )... 10 에이드라 (Aidra, Lightaidra)... 10 달로즈 (Darlloz, Zollard)... 11 가프지트 (Gafgyt)... 12 피엔스캔 (Pnscan)... 12 와이패츠 (Wifatch)... 13 미라이 (Mirai)... 13 예방... 15 결론... 16 참고자료... 16 AhnLab, Inc. All rights reserved. 2

소개 2016년 9월유명보안전문가브라이언크렙스의블로그크렙스온시큐리티 (KrebsOnSecurity) 와프랑스인터넷호스팅업체 OVH에대해기록적인디도스공격이있었다. 2016년 10월 21일금요일오전미국인터넷호스팅서비스업체딘 (Dyn) 에대한디도스공격으로에어비앤비 (Airbnb), 페이팔 (PayPal), 넷플릭스 (Netflix), 사운드클라우드 (SoundCloud), 트위터 (Twitter), 뉴욕타임스 (The New York Times) 등여러사이트의접속장애가발생했다. 이들공격에는사물인터넷을감염시키는미라이 (Mirai) 라는악성코드가이용되었음이밝혀진다. 사물인터넷을이용한공격이이미영화나드라마에서도나왔다. 2009년방영된 CSI 뉴욕시즌 6(CSI: New York Season 6) 의에피소드 2 블랙리스트 (Featuring Grave Digger) 에서병으로외출할수없는범인이집에서자동차, POS(Point of Sales), 시스템, 엘리베이터를해킹해평소앙심을품고있던사람들을살해하는내용이나온다. 2015년방영된 CSI 사이버 (CSI: Cyber) 에서는베이비모니터 (Baby Monitor) 를해킹해부모가없을때아이를납치하는내용도나온다. 드라마특성상다소과장이있을수있지만이제현실에서도인터넷에연결된다양한기기가범죄에악용되기시작했다. 인터넷에연결된기기가증가하면서이미공격자들은이들기기를대상으로한해킹및악성코드제작이 시도되고있다. 현재사물인터넷은다양한플랫폼이경쟁을하고있는데이중인기있는임베디드리눅스 악성코드에대해알아보자. AhnLab, Inc. All rights reserved. 3

임베디드리눅스그리고 IoT 최근다양한제품이인터넷에연결가능하게출시되면서사물인터넷 (IoT, Internet of Things) 이란용어가유 행하기시작했다. 사물인터넷으로분류될수있는기기는다양한데이중임베디드리눅스를이용한다양 한사물인터넷제품이존재한다. 임베디드리눅스기반기기 현재여러운영체제가사물인터넷주도권을놓고경쟁하고있으며이중임베디드리눅스 (Embedded Linux) 가많이사용되고있다. 특히우리가흔히접할수있는인터넷공유기 ( 홈라우터, Wi-Fe Router, Wireless Router 등으로도불림 ), 셋톱박스 (Set top box), NAS(Network Attached Storage), 디지털비디오레코더 (DVR, Digital Video Recorder), IP 카메라 (IP Camera) 등에서임베디드리눅스가이용되고있다. 인터넷공유기와나스 (NAS) 는주변에서흔히볼수있는임베디드리눅스로구동되는시스템중하나이다. 인터넷공유기는가정, 소형사무실, 매장에서널리이용되고있다. 공공장소에설치된인터넷공유기를통해다른사람이무선통신내용을몰래훔쳐보는스니핑문제가알려졌지만인터넷공유기에도악성코드문제가존재한다. 특히인터넷공유기와 NAS는인터넷공유나자료공유를위해보통 24시간동안켜져있어공격자가노리는대표적시스템이다. 게다가이들시스템은데스크톱과비교했을때는저성능이지만다른사물인터넷제품과비교했을때컴퓨터에가까워공격자들의우선대상목표가되고있다. 또디지털비디오레코더와 IP 카메라도주요공격대상이다. 보안문제 임베디드리눅스기반의사물인터넷기기들의상당수는보안을고려하지않고설계했거나제작자편의의백도 어기능을포함한경우가있다. AhnLab, Inc. All rights reserved. 4

보안을고려하지않은설계 많은제조사들이보안을고려하지않고사물인터넷제품을만들고있다. 일부인터넷공유기와 IP 카메라는텔넷 (telnet) 포트를열어두어외부에서쉽게접속할수있다. 또한접속을위해서는아이디와암호가필요한데많은사용자가고정된공장초기암호를그대로사용하고있어공격자의접속이가능하다. 이런기기에는보통비지박스 (BusyBox) 라는리눅스명령을실행해주는프로그램이내장되어있는데, 이중 wget 명령을지원하면손쉽게다른악성코드를다운로드해실행할수도있다. [ 그림 1] telnet 으로접속해 wget 명령실행 백도어기능 여러기기에서종종외부에서접속할수있는백도어가발견되고있다. 개발자가디버깅목적등으로만들 어두는경우도있지만제작사에서의도적으로만들어둔경우도있다. 외부에서접근가능한문제는심각 하지만일반인이기기에내장된백도어기능을찾기는어렵다. 의도적정보유출 일부제조사에서의도적으로정보를유출하거나악의적인행위를하는제품을만들수있다. 따라서신뢰 할수없는회사에서만든제품은가급적사용하지않는것이좋다. AhnLab, Inc. All rights reserved. 5

위협 다양한기기가인터넷에연결되면서여러위협에노출되고있다. 특히사용자편리를위해많은인터넷연 결기기가외부에서접속이가능한데공격자는이점을이용하기도한다. 사생활침해및정보유출 카메라내장제품을악용해사생활을몰래훔쳐보는사생활침해가발생하고있다. 미국에서는 IP 카메라 ( 아기모니터등으로도불림 ) 를해킹해집안을훔쳐보거나심지어말을건네는일도 발생했다. [ 그림 2] 공격자의목표가된 IP 카메라 또, 매장에서 IP 카메라를사용할경우에는몰래접속해매장에사람이있는지확인하는용도로이용되기도 한다. 이경우 IP 카메라로직원이잠시자리를비웠을때물건을훔칠수도있다. AhnLab, Inc. All rights reserved. 6

[ 그림 3] IP 카메라로본계산대 설정변경 / 데이터조작 기기가해킹되면내부설정을변경해원하지않는내용출력하거나보관중인데이터를조작할수있다. 원치 않는광고가노출되거나피싱사이트나악성코드설치사이트로유도될수있다. 특히의료기기가공격을받아 수치가조작될경우사람목숨이위험해질수있다. 악성코드감염 임베디드리눅스기반사물인터넷기기는텔넷이나웹서버기능지원을위해다양한포트를열어두고있다. 공격자는로그인정보를추측하거나취약점을이용해기기에접속하는악성코드를만들수있다. 현재까지발견 된악성코드는대부분디도스공격, 광고노출, 피싱사이트유도, 가상화폐채굴등의목적으로가지고있다. AhnLab, Inc. All rights reserved. 7

주요임베디드리눅스악성코드 지금까지발견된대표적인임베디드리눅스악성코드는 [ 그림 4] 와같다. [ 그림 4] 주요임베디드리눅스악성코드타임라인 임베디드리눅스악성코드는 2008년에처음보고되었다. 초기임베디드리눅스악성코드는밉스 (MIPS) 프로세스를사용하는인터넷공유기만감염시킬수있었다. 하지만 2012년발견된에이드라웜은밉스외다양한프로세스를지원해인터넷공유기뿐만아니라셋톱박스등다양한임베디드리눅스환경에서활동했다. 많은임베디드리눅스악성코드는디도스공격기능이주목적이지만 2013년발견된달로즈 (Darlloz) 는비트코인과같은가상화폐채굴이주목적이다. 2014년말리자드스쿼드 (Lizard Squad) 란그룹에서가프지트 (Gafgyt) 변형으로일으킨디도스공격으로게임관련웹사이트장애가발생하기도했다. 2016년미라이 (Mirai) 에의해 9월과 10월대규모디도스공격이발생한다. 공격에는기존인터넷공유기뿐만아니라 DVR(Digital Video Recorder), IP 카메라등의사물인터넷기기가이용되었다. 지금까지가장많이발견된리눅스악성코드는에이드라 (Aidra), 달로즈 (Darlloz), 가프지트 (Gafgyt), 피앤스캔 (Pnscan), 미라이 (Mirai) 등 5종류이다. 단, 특정기기만감염시키는악성코드나지속적으로변형이나오지않는악성코드를제외했다. 이들 5종류악성코드의발견현황을보면 2012년 36개, 2013년 26개, 2014년 348개, 2015 년 1,180 개, 2016년 9,125 개이다. 참고로 2016년통계는 10월 31일까지집계로연말까지 1만개이상의악성코드가보고될것으로예상된다. 이처럼임베디드리눅스기반악성코드는 2014년이후폭발적인증가세를보이고있다. Aidra Darlloz Gafgyt Mirai Pnscan Total 2012 36 - - - - 36 2013 19 7 - - - 26 2014 98 28 222 - - 348 2015 87 9 980-104 1,180 2016 269 7 8,635 138 76 9,125 Total 509 51 9,837 138 180 10,715 [ 표 1] 주요리눅스악성코드발견현황 AhnLab, Inc. All rights reserved. 8

이가운데가프지트 (Gafgyt) 와에이드라 (Aidra) 가가장많이발견되고있으며, 그다음으로피엔스캔 (Pnscan), 미라이 (Mirai) 가뒤를잇고있다. 특히당분간가프지트와미라이가계속증가할것으로예상된다. 그럼, 지금까지발견된리눅스악성코드에대해자세히살펴보자. 하이드라 (Hydra) 최초의알려진인터넷공유기악성코드는하이드라다. 하이드라는디도스공격악성코드로 2008 년에도언 더그라운드포럼에관련악성코드정보가올라와있는것으로보아 2008 년이전부터제작되었을가능성이 높다. [ 그럼 5] 2008 년에공개된하이드라정보 싸이봇 (Psybot) 싸이봇 (Psybot) 은 2009 년 1 월테니보메 (Teny Baume) 가발견했다. 인터넷공유기악성코드중처음으로일 반에널리퍼졌으며디도스공격기능을가지고있다. AhnLab, Inc. All rights reserved. 9

[ 그림 6] 싸이봇이감염시키는인터넷공유기종류 유텔텐드 (Uteltend, 척노리스봇 ) 2009년말체코마사리코바 (Masaryk) 대학에서발견했으며, 척노리스봇으로도알려져있다. 공격대상시스템을찾아텔렛브루트포스공격 (Telnet brute force attack) 으로감염시킨다. 소스코드내이탈리아어로 [R]anger Killato : in nome di Chuck Norris! 가존재한다고한다. UPX로패킹되어있으며 Knb Keep nick bot 0.2.2 문자열이존재한다. 에이드라 (Aidra, Lightaidra) 에이드라는 2012 년 2 월최초발견되었으며 2011 년말제작되었을가능성이높다. 최초의사물인터넷악성 코드로볼수있다. AhnLab, Inc. All rights reserved. 10

[ 그림 7] 에이드라발견글 기존임베디드리눅스악성코드가밉스 (MIPS) 프로세스를사용하는인터넷공유기만공격대상이었다면이악성코드는밉스뿐만아니라암 (ARM), MIPSEL, 파워PC(PowerPC), 슈퍼H(SuperH) 등의다양한프로세스에서도동작하게제작되었다. IRC 봇악성코드로디도스공격기능을가지고있으며소스코드가공개되어다양한변형이존재한다. 2014년발견된변형에는경쟁악성코드인달로즈 (Darlloz) 제거기능이추가되었다. 달로즈 (Darlloz, Zollard) 달로즈는 2013 년 10 월발견된사물인터넷웜으로인텔 x86, MIPS, ARM, 파워 PC 등의시스템을감염시킬 수있다. 다른악성코드가주로디도스공격기능이있는데반해이악성코드는비트코인같은가상화폐 채굴기능을가지고있다. [ 그림 8] 가상화폐채굴프로그램설치 AhnLab, Inc. All rights reserved. 11

시만텍에따르면달로즈악성코드로인해전세계 31,000 대시스템감염이추정되는데 17% 가국내시스템 이었다고한다. 또한이악성코드는감염을위해 PHP 취약점인 CVE-2012-1823 을이용하고있다. 가프지트 (Gafgyt) 가프지트는 2014 년 8 월에존재가확인되었다. 특히 2014 년말리자드스쿼드 (Lizard Squad) 에서엑스박스 라이브 (Xbox Live) 와플레이스테이션네트워크 (PlayStation Network) 에디도스공격할때이용해유명해졌다. 2015 년 1 월소스코드가공개되어현재가장많은변형이존재한다. [ 그림 9] 공개된가프지트 (Gafgyt) 소스코드 피엔스캔 (Pnscan) 피엔스캔은 2015 년 8 월러시아보안업체닥터웹 (Dr. Web) 에서발견된악성코드이다. 암 (ARM), 밉스 (MIPS), 파워 PC(PowerPC) 시스템을감염시키며 HNAP (Home Network Administration Protocol) 와 CVE-2013-2678 등의취약점 을공격한다. AhnLab, Inc. All rights reserved. 12

와이패츠 (Wifatch) 와이패츠는 2015 년발견되었으며예상하기쉬운암호를이용해전파된다. 감염후에는해당기기의보안 문제를해결해주며, 제작자는소스코드를공개했다. [ 그림 10] 공개된와이패츠소스코드 미라이 (Mirai) 미라이 (Mirai) 는일본어미래의발음으로 2016 년 5 월처음으로발견되었다. 2016 년 10 월초소스코드가공개된 후변형이증가하고있다. 2016 년 9 월보안블로그인크렙스온시큐리티를대상으로디도스공격과 2016 년 10 월 호스팅업체딘 (Dyn) 에대한디도스공격으로유명해졌다. [ 그림 11] 공개된미라이 (Mirai) 소스코드 AhnLab, Inc. All rights reserved. 13

이악성코드는 UDP Flood, Syn Flood, ACK Flood, GRE IP Flood 등의다양한디도스공격기능을가지고있다. 주요 문자열은암호화되어있으며, 암호를풀고대입해보면패스워드리스트등을볼수있다. [ 그림 12] 미라이 (Mirai) 패스워드문자열비교 2016 년 10 월발견된변형은다른악성코드를제거하는기능이포함되기도한다. [ 그림 13] 미라이 (Mirai) 의경쟁악성코드제거기능 AhnLab, Inc. All rights reserved. 14

예방 현재까지임베디드리눅스기반사물인터넷제품에감염된악성코드를진단, 치료할수있는마땅한방법이없다. 백신프로그램이존재하지않고, 존재하더라도제조사도움이없으면프로그램설치도어렵다. 따라서악성코드감염을예방하기위한노력이필요하다. 우선인터넷공유기나 NAS의공장초기화암호는반드시변경해야한다. 새로운암호는숫자와특수문자를섞어서사용하고주기적으로변경하면가장좋다. 악성코드에서 Admin, adin1, guest, root, support 등의계정에대입해보는주요암호는 [ 표 2] 와같다. 54321 666666 7ujMko0vizxv 7ujMko0admin 00000000 1111 1111111 1234 12345 123456 888888 Admin Admin1234 anko Default dreambox fucker ikwb hi3518 jvbzd klv123 klv1234 meinsm Pass password realtek service system tech ubnt user vizxv xc3511 Zte521 Zlxx. [ 표 2] 취약한패스워드리스트 공격자는최근인터넷공유기등의취약점을찾아계속공격하고있어제조사에서도주기적으로펌웨어업 데이트를제공하고있다. 다른사물인터넷에대한취약점공격도진행될것으로예상되어인터넷에연결 된기기는최신펌웨어로업데이트해야한다. 많은경우외부에서접근할수있는기능을악용하고있다. 따라서꼭필요한경우가아니라면외부접근 기능을해제하고사용한다. AhnLab, Inc. All rights reserved. 15

결론 최근인터넷에연결된사물인터넷제품이증가하고있다. 이중인터넷공유기나 NAS는저가컴퓨터만큼의성능을갖추고있다. 공격자는이런새로운시장을지나치지않는다. 이미 2008년부터꾸준한공격을진행중이었지만잘알려지지않고있었다. 몇몇악성코드는소스코드가공개되어 2014년부터급증해 2016년에만 1만개이상의사물인터넷악성코드가등장할것으로예상된다. 이처럼인터넷에연결된기기가다양해지고시스템성능이올라갈수록악성코드문제도더욱증가할것이다. 초기임베디드리눅스악성코드는주로인터넷공유기같은가정내네트워크장비에국한되어있었다. 하지만악성코드제작자들은좀더다양한기기를감염시키기위한노력도진행해이제많은사물인터넷제품을감염시킬수있는악성코드를개발하고있다. 하지만, 아직까지사용자가임베디드리눅스악성코드를예방하기도쉽지않고악성코드에감염되어도마땅한치료방법이없다. 2014년이후임베디드리눅스악성코드에의해발생한디도스공격으로세계여러나라정부에서도문제의심각성을느끼기시작했다. 이러한기조에따라미래창조과학부는 2016년 9월 IoT 기기생명주기를기준으로 15가지보안요구사항과기술 관리적권고사항을상세히담은 IoT 공통보안가이드 를발표했다. 따라서제조사는이가이드를비롯한 KR-CERT의 공유기제품생산시적용할보안가이드, OWASP 의 IoT 시큐리티가이드 를바탕으로제품을설계해야한다. 또한보안업체와협력해보안기능을강화하거나보안제품을탑재할필요가있다. 언론을통한사물인터넷의위험성을홍보도필요하다. 소비자입장에서도사물인터넷제품을구매할때가격보다는보안에신경쓴제품을선택한다면, 사물인터넷보안의중요성에대한전반적인시장분위기도높아질것으로기대한다. 참고자료 [1] Marta Janus/Kaspersky, Heads of the Hydra, Malware for Network Devices, 2011 [2] Marta Janus/Kaspersky, State of play: network devices facing bulls-eye, 2014 [3] 손기종 / 공유기공격사례를통한사물인터넷기기보안위협, 2015 [4] 차민석 / 안랩, IoT 그리고임베디드리눅스악성코드, 2015 [5] 최우석 /F-NGS 연구소, MIRAI 봇넷동향 / 분석보고서, 2016 AhnLab, Inc. All rights reserved. 16

2024 © docsplayer.org 개인정보보호 | 약관 | 지원