주요 판단

• 첫 번째 공격은 2018년 1월 28일 18시 30분(UTC)에 발생했습니다. 같은 날, 같은 시간에 두 번째 금융권 기업에서 동일한 봇넷을 이용한 DDoS 공격이 발생했습니다. 몇 시간 후인 같은 날 2100시(한국 시간 기준)에 세 번째 금융권 기업에서도 유사한 DDoS 공격을 받았습니다.
• 초기 공격은 트래픽 양이 30Gb/s로 최고조에 달한 DNS 증폭 공격이었습니다. 이후 두 차례의 공격 규모를 파악할 수 있는 정보가 충분하지 않습니다.
• 이러한 공격이 IoTroop에 의해 수행되었다면, 2017년 10월 이후 봇넷이 추가적인 IoT 디바이스의 취약점을 악용하기 위해 진화했으며, 봇넷을 전파하고 더 큰 규모의 DDoS 공격을 용이하게 하기 위해 계속 진화할 가능성이 높다는 것을 알 수 있습니다.
• 새로운 봇넷 인프라의 공격 조정 및 스캔에 관여했을 가능성이 있는 봇넷의 컨트롤러로 평가되는 최소 7개의 IP 주소를 확인했습니다.

Executive Summary

Insikt Group 미라이(Mirai) 봇넷의 변종이 2018년 1월 말 금융 분야에 속한 최소 한 곳의 기업을 대상으로 한 공격에 활용되었으며, 아마도 더 많은 기업이 영향을 받았을 가능성이 있다고 평가했습니다. 이 봇넷 변종은 IoTroop 또는 Reaper 봇넷과 연관되어 있을 가능성이 있습니다. 이 평가는 제3자 메타데이터 및 기존 오픈소스 정보에 기반을 두고 있습니다. IoTroop는 주요 제조업체인 MikroTik, Ubiquity, GoAhead의 제품에 존재하는 취약점을 악용해 침해된 가정용 라우터, TV, DVR, IP 카메라로 주로 구성된 강력한 사물인터넷(IoT) 보트넷입니다. 이것은 Mirai 이후로 IoT 봇넷이 DDoS 공격에 사용된 첫 번째 사례이며, IoTroop이 지난해 처음 발견된 이후로 피해자를 표적으로 삼은 첫 번째 사례일 수 있습니다.

배경

2017년 10월, 연구진은 TP-Link, Avtech, MikroTik, Linksys, Synology, GoAhead 등 기업에서 제조된 라우터와 무선 IP 카메라 등 IoT 기기로 구성된 새로운 봇넷인 IoTroop를 발견했습니다. IoTroop는 봇넷을 확산시키는 데 사용된 악성 소프트웨어(Reaper로도 알려져 있음)가 유연성 있는 Lua 엔진과 스크립트를기반으로 제작되었다는 점에서 독특했습니다. 이는 이전 악용 사례에서처럼 정적이며 사전 프로그래밍된 공격에 제한되지 않고, 코드를 실시간으로 쉽게 업데이트할 수 있어 새로운 악성 공격이 사용 가능해지자마자 대규모 봇넷이 즉시 실행될 수 있도록 했습니다.

IoTroop 악성 소프트웨어는 최소 12개의 취약점을 악용할 수 있으며, 새로운 취약점이 발견될 때마다 공격자에 의해 업데이트될 수 있습니다. 부록을 참조하여 이 공격에 사용된 봇넷 및 IoTroop 봇넷에서 관찰된 공급업체, 기술, 취약점의 완전한 목록을 확인하세요.

2018년 2월, 네덜란드 경찰은 네덜란드의 여러 기관 — 기술 사이트 Tweakers와 인터넷 서비스 제공업체 Tweak —에 대한 DDoS 공격을 가한 혐의로 18세 남성을 체포했습니다. 이 남성이 우리가 관찰한 금융기관을 대상으로 한 DDoS 공격의 배후에 있다는추측이 제기되고 있으나, 경찰은 해당 연관성을 확인하지 않았습니다.

체포된 개인은 9월 공격에 사용하기 위해 "스트레스 테스트"라고 위장한 "스트레스 테스트 도구"를 구매하는 것처럼 가장해 봇넷을 임대했을 것으로 추정됩니다. 이 남자가 우리가 관찰한 1월 공격에도 책임이 있다면, 그는 그 공격을 위해 이 미라이 변종 IoT 보트넷을 임대했을 가능성이 높습니다. 본 보고서 발표 시점까지, 이 봇넷의 편성자나 2018년 1월에 관찰된 공격을 실행한 주체가 누구인지 확인되지 않았습니다.

위협 분석

최초의 금융 부문 기업 대상

이 봇넷은 각각 고유 IP 주소를 가진 최소 13,000개의 디바이스를 사용하는 최초의 금융 부문 기업을 표적으로 삼았으며 최대 30Gb/s의 트래픽을 발생시켰습니다. 인식트 그룹은 IP 지리적 위치, 쇼단의 서비스 배너, 추가 메타데이터를 사용하여 봇넷의 구성을 분석했습니다. 후보 컨트롤러 또는 봇 마스터는 통신 중인 봇넷 클라이언트의 수와 빈도에 따라 최종 후보로 선정되었습니다. 비정상적인 포트 사용을 기반으로 비정상적인 활동이 추가로 발견되었습니다.

분석 결과 첫 번째 기업 공격에 연루된 봇넷의 80%는 손상된 MikroTik 라우터로 구성되었으며, 나머지 20%는 취약한 Apache 및 IIS 웹 서버부터 Ubiquity, Cisco, ZyXEL의 라우터에 이르기까지 다양한 IoT 디바이스로 구성되었습니다. 또한 20%의 IoT 디바이스 중 웹캠, TV, DVR이 발견되었으며, 여기에는 MikroTik, GoAhead, Ubiquity, Linksys, TP-Link, Dahua와 같은 주요 공급업체의 제품이 포함되어 있습니다.

IoTroop 봇넷이 발견된 이후 MicroTik 라우터 취약점 및 익스플로잇의 향후 타임라인을 기록했습니다.

다양한 제조업체의 기기 확산은 공개된 취약점을 악용해 빠르게 확산되고 진화하는 대규모 봇넷의 존재를 시사합니다. 2017년 10월에 발표된 연구에 등장한 많은 IoT 업체와 기기들이 있었지만, Dahua CCTV DVR, 삼성 UE55D7000 TV, Contiki 기반 기기 등 많은 기기들이 Reaper/IoTroop 악성 소프트웨어에 취약하다는 사실은 이전에 알려지지 않았습니다.

2016년 9월 미라이 공격 이후 IoT 봇넷과 멀웨어의 확산에 대한 향후 타임라인을 기록했습니다.

모든 해킹된 MikroTik 장치에는 TCP 포트 2000이 열려 있었으며, 이 포트는 일반적으로 MikroTik의 대역폭 테스트 서버 프로토콜에 할당되어 있습니다. 이 포트는 새로운 MikroTik 장치에서 기본적으로 활성화되어 있습니다. 봇넷 내에서 TCP 2000이 비활성화된 MikroTik 장치가 발견되지 않았습니다(생산 환경에서 권장되는 보안 조치입니다).

아래는 봇넷의 지리적 분석을 보여주는 그래픽입니다:

금융 서비스 부문을 노리는 IoT 봇넷 클라이언트의 전 세계 분포, 2018년 1월(Microsoft Excel을 통한).

그래픽에서 볼 수 있듯이 봇넷 클라이언트의 지리적 분포는 러시아, 브라질, 우크라이나에 크게 편중되어 있습니다. 이는 봇넷 구성과 관련된 특정 사항이라기보다는 해당 국가에서 마이크로틱 디바이스의 인기를 반영하는 것일 가능성이 높습니다. 데이터에 나타난 국가는 총 139개로, 전 세계적으로 취약한 IoT 디바이스가 광범위하게 표적이 되고 있음을 알 수 있습니다. 이 분포는 브라질이 두 봇넷의 상위 5개 봇넷 클라이언트 목록에 포함된 유일한 국가였던 오리지널 미라이 봇넷과는 달랐습니다.

봇넷의 명령 및 제어 서버(또는 "컨트롤러")로 추정되는 다수의 IP를 발견하고 고객이 이러한 컨트롤러를 추적할 수 있도록 '기록된 미래 위협 목록'을 만들었습니다. 액세스 권한은 인텔리전스 서비스 담당자에게 문의하세요.

다음 IP 주소는 봇넷 컨트롤러의 후보입니다. 볼륨만으로는 컨트롤러의 지표가 될 수 없지만, 아래 IP는 추가 데이터를 기반으로 추가적인 신뢰도를 확보할 수 있는 IP입니다.

98.95.228.104: 첫 번째 금융 부문 기업을 대상으로 관찰한 모든 활동의 34%에는 이 IP를 오가는 UDP DNS 요청이 포함되어 있었습니다.

71.68.32.251: 마찬가지로, 첫 번째 회사에서 이 IP로 많은 양의 활동이 오가는 것을 관찰했습니다.

213.160.168.18: 이 IP에 대한 구체적인 위협 데이터는 관찰되지 않았지만, 역사적으로 멀웨어 배포 및 의심스러운 프록시와 연결된 /24 범위의 일부입니다.

84.47.111.62: 볼륨 및 패턴 분석에 따르면 상위 컨트롤러일 가능성이 높습니다.

다음 두 IP는 모두 슬로바키아어입니다. 두 가지 모두 예측 위험 모델을 트리거했기 때문에 기록된 미래 위험 점수가 약간 상승했습니다.

87.197.166.13 및 87.197.108.40: 이 두 IP와 몇몇 컨트롤러 간에 대량의 데이터가 교환되는 것을 관찰했습니다. 저희는 이것이 기본 컨트롤러이거나 최소한 소스에 한 홉 더 가까워진 컨트롤러일 수 있다고 생각합니다.

62.204.238.82: 이 IP는 원래 디도스 공격에 연루된 13,000개의 IP 중 하나였습니다. 체코로 확인되며 메타데이터 분석에서 생성된 트래픽의 거의 3%를 차지합니다. 조사 기간 동안 이 IP가 프랑스에 있는 세 개의 의심스러운 인터넷 릴레이 채팅(IRC) 서버(149.202.42.174, 51.255.34.80, 5.196.26.96)에 반복적으로 연결되는 것을 관찰했습니다. 이 세 개의 의심스러운 IRC 서버는 모두 Recorded Future의 예측 위험 모델을 트리거했습니다.

두 번째 금융 부문 기업 대상

또한, 2018년 1월 27일부터 1월 28일까지 같은 주말에 두 번째 금융 부문 기업도 디도스 공격의 표적이 된 것으로 확인되었습니다. 봇넷 인프라 사용과 공격 시기가 겹치는 것으로 보아 이번 공격은 동일한 미라이 변종 IoT 봇넷을 사용하여 수행된 것으로 추정됩니다.

분석 과정에서 두 번째 회사가 같은 날 동일한 미라이 변종 IoT 봇넷의 표적이 되었을 가능성이 높다는 증거를 발견했습니다. 추가 분석을 통해 두 번째 기업의 IP 주소가 26개의 고유 IP 주소와 통신했으며, 이 중 19개는 첫 번째 금융 부문 기업에 대한 공격에 관여한 것으로 확인되었습니다.

세 번째 금융 부문 기업 대상

또한 2018년 1월 28일, 불과 몇 시간 후인 2100시경(한국 시간 기준)에 한 금융권 기업의 네트워크에서 매우 많은 양의 TCP 443 이벤트가 발생한 것을 발견했습니다. 이 활동의 기술적 세부 사항은 현재 원본 DDoS와 비교할 수 없지만, 시간적으로 근접한 것으로 보아 연관성이 있을 가능성이 있습니다.

전망

이러한 공격은 지속적으로 진화하는 봇넷으로 인한 금융 부문에 대한 DDoS의 지속적인 위협을 강조합니다. IoTroop/Reaper 봇넷과 디바이스 구성이 유사하다는 점은 IoTroop이 추가 IoT 디바이스의 취약점을 악용하도록 진화했으며 앞으로도 금융 부문에 대한 대규모 DDoS 공격을 위해 봇넷을 구축하기 위해 계속해서 취약점을 악용할 가능성이 높다는 것을 시사합니다.

IoTroop의 지속적인 금융 기관 표적 공격에 대한 더 많은 데이터가 밝혀짐에 따라, 추가 공격에 대비하여 잠재적인 컨트롤러를 모니터링하고 봇넷에 추가되는 새로운 IoT 디바이스를 식별하는 것이 점점 더 중요해질 것입니다.

레코디드 퓨처 고객은 게시된 봇넷 컨트롤러의 위협 목록을 구독하여 악의적인 활동을 추적하는 것이 좋습니다. 이러한 컨트롤러는 봇넷 클라이언트로 전송되는 서비스 거부 공격 명령을 담당할 뿐만 아니라 새로운 취약한 IoT 인프라를 공격적으로 검색하여 이를 탈취할 가능성이 높습니다.

또한 IoT 디바이스 사용자는 다음과 같은 간단한 조치를 취하여 디바이스가 IoT 봇넷에 의해 징발될 위험을 완화할 것을 권장합니다:

• 항상 사용 즉시 기본 제조업체 비밀번호를 교체하세요.
• 디바이스의 펌웨어를 최신 상태로 유지하세요.
• 원격 액세스가 필요한 IP 카메라 및 유사 시스템의 경우 VPN에 투자하세요.
• 불필요한 서비스(예: 텔넷)를 비활성화하고 IoT 장치에 필요하지 않은 포트는 닫습니다.