Mirai 변종 악성코드 - KiraV2

과거 Mirai 악성코드의 소스 코드가 공개된 이후로 수많은 변종들이 아직까지 유포되고 있다. Mirai를 기반으로 하는 악성코드들뿐만 아니라 gafgyt와 같은 다른 악성코드들 까지도 Mirai의 소스 코드를 일정 부분 차용하는 경우도 다수 존재한다.

 

KiraV2라는 이름을 갖는 이 악성코드는 Mirai의 소스 코드를 기반으로 만들어진 변종이며, 2020년 3분기 ASEC리포트에서 상세한 내용을 다루었다.

- ASEC 리포트 Vol.100 PDF : https://image.ahnlab.com/file_upload/asecissue_files/ASEC%20REPORT_vol.100.pdf

 

원본 Mirai와의 차이점이라고 한다면 전파와 관련된 부분이 있다. Mirai는 취약한 계정 정보를 갖는 telnet에 대한 사전 공격을 이용해 자신을 전파하였다. KiraV2는 이에 더해 원격 명령 취약점들을 이용한 전파 기능을 추가하였다. 다음은 원본 Mirai의 동작 방식을 기반으로 작성한 흐름도이며, KiraV2의 경우 원본에서는 존재하지 않는 “취약점 전파” 부분이 추가되어 있다.

 

KiraV2와 같은 IoT 봇의 목적은 DDoS 공격이다. 감염된 다수의 봇넷들은 공격자의 명령을 받아 다른 네트워크에 대량의 트래픽을 전송하는 DDoS 공격을 수행할 수 있다.

 

효과적인 DDoS 공격을 위해서는 다수의 봇들을 확보해야 하는데, KiraV2는 랜덤한 IP 대역을 스캐닝하면서 취약한 장치들을 찾는다. 첫째는 telnet이 동작하는 IoT 장비들이며, 이 장비들에 대해 보유하고 있는 ID/PW 리스트들을 사전 공격하여 로그인을 시도하고 성공 시에는 자신을 설치하는 방식으로 전파한다. 두 번째 방식은 원격 명령 실행 취약점이 패치되지 않은 장비들이 그 대상이며, 이 취약점을 활용하여 원격에서 명령을 보내는 방식으로서 자신을 전파한다. 취약점 공격 대상으로는 Huawei 라우터와 JAWS Web Server가 설치된 MVPower DVR 장치들이 있다.

 

최근 IoT 산업이 발전해 가고 있음에 따라 DVR, 라우터, IP 카메라 등 IoT 장비들의 수 또한 늘어나고 있다. 이러한 장비들 중 상당수는 외부와 연결되어 있으며, 과거부터 현재까지 많은 수의 악성코드들이 보안에 취약한 장비들을 대상으로 감염을 시도하고 있다. 또한 이미 다수의 장비들이 감염되어 봇넷을 구성하고 있으며, DDoS 공격에 사용되어 또 다른 IT 인프라에 대한 보안 위협으로 자리잡고 있다.

 

위와 같은 보안 위협을 방지하는 방법으로는 장비에 기본적으로 제공되는 ID / PW와 같은 자격 증명 변경 및 기존의 취약한 자격 증명을 안전한 자격 증명으로 바꾸는 것이 있으며, 또한 기존 IoT 장비들을 최신 버전으로 업데이트하여 취약점 공격으로부터 보호하는 방법이 있다.

 

V3 제품군에서는 해당 악성코드에 대해 다음과 같은 진단명으로 탐지하고 있다.

 

[파일 진단]

- Worm/Linux.Mirai.SE189

 

[관련 IOC 정보]

- 02c8dc400e4323f13dad99b2b4d91e2c