새로운 Mirai 봇넷 변종과 SSR 장비를 노린 공격

A new Mirai botnet variant targets DigiEver DS-2105 Pro DVRs

A new Mirai botnet variant targets DigiEver DS-2105 Pro DVRs

 

Mirai botnet targets SSR devices, Juniper Networks warns

Mirai botnet targets SSR devices, Juniper Networks warns

 

• 발견 및 공격 대상
  • Akamai와 Juniper Networks 연구진, Mirai 기반 봇넷 변종이 DigiEver DS-2105 Pro DVR와 Session Smart Router(SSR) 장비를 표적으로 삼은 공격 활동 발견
  • DigiEver DS-2105 Pro DVR의 원격 코드 실행(RCE) 취약점과 SSR의 기본 자격 증명 사용 문제를 악용
• 새로운 Mirai 변종의 특징
  • 봇넷 명칭: "Hail Cock Botnet", 2024년 9월부터 활동
  • DigiEver DVR의 /cgi-bin/cgi_main.cgi URI를 통해 취약점 공격
  • ChaCha20 및 XOR 암호화 알고리즘 사용으로 기존 변종보다 고도화
  • TP-Link CVE-2023-1389 및 Teltonika 라우터 CVE-2018-17532 취약점도 추가적으로 악용
  • cron job을 이용해 hailcocks[.]ru에서 쉘 스크립트를 지속적으로 다운로드하여 감염 유지
  • C2(명령 및 제어) 서버와의 통신을 통해 네트워크에서 Telnet/SSH 브루트포스 공격 수행
• SSR 장비 대상 Mirai 활동
  • 2024년 12월, SSR 장비를 대상으로 디도스(DDoS) 공격에 사용된 사례 다수 보고
  • 주요 원인: 기본 비밀번호를 변경하지 않아 SSH를 통한 원격 명령 실행 허용
  • 주요 징후
    • 비정상적인 포트 스캐닝
    • 로그인 실패 시도 증가
    • 아웃바운드 트래픽 급증 및 기기 오작동
• 공통 공격 방식과 피해
  • 악성 코드 주입 후, 취약한 IoT 기기 및 네트워크 장비를 통해 DDoS 공격 및 추가 악성 활동 수행
  • 감염 장치의 광범위한 활용으로 네트워크 기반 공격 확대
• 보안 권고
  • 기본 보안 조치 강화
    • 기본 자격 증명 변경 및 강력한 비밀번호 정책 시행
    • 보안 패치가 불가능한 장치는 최신 모델로 업그레이드
  • 시스템 모니터링
    • 액세스 로그 주기적 점검 및 이상 징후 탐지
    • 방화벽과 IDS/IPS 활용으로 비인가 접근 차단
  • 지속적 업데이트
    • 펌웨어 및 소프트웨어를 최신 상태로 유지
  • 교육과 인식 개선
    • IoT 기기 및 네트워크 보안의 중요성에 대한 교육 및 내부 보안 프로세스 강화
• 결론
• - Mirai와 같은 봇넷은 오래된 펌웨어와 기본 자격 증명 사용 등 기본적인 보안 허점을 주로 노림 - 조직은 강력한 보안 관행을 채택하고 취약 장치를 제거하거나 보안 패치를 통해 이러한 위협에 대응해야 함 - 최신 보안 기술을 활용한 탐지 및 대응 체계 구축이 필수적