2019.02.22

'화상회의 시스템도 안전하지 않다' IoT 봇넷 등장

Lucian Constantin | CSO
기업들이 지난 수년 동안 자사 네트워크에 사물인터넷(IoT) 기기를 추가했으며 인터넷에 대한 노출이 증가하는 경우도 많았다. 이로 인해 NAS(Network Attached Storage) 박스, 감시 카메라, 디지털 비디오 기록, 화상회의 시스템 등을 통제하기 위해 안전하지 못한 구성과 취약성 악용에 특화된 봇넷이 최근 등장했다.
 
ⓒCredit: Magdalena Petrova
지난 8월, IoT 보안 신생업체 WC(WootCloud)의 연구원들은 폴리콤이 만든 기업용 화상회의 시스템을 감염시키는 OMNI라는 봇넷을 발견했다. 그 이후로 해당 기업은 기타 리눅스 기반의 임베디드 기기 외에 같은 유형의 시스템을 표적으로 삼는 3개의 봇넷을 추가로 발견했다.

폴리콤 HDX 시리즈 엔드포인트를 표적으로 삼는 이 새로운 3가지 봇넷은 부시도(Bushido), 헤이즈(Hades), 요와이(Yowai)이며 2016년에 소스 코드가 유출된 미라이 봇넷에 기초하고 있다. 미라이는 수십만 개의 IoT 기기를 감염시키는 데 성공했으며 역사상 가장 큰 DDoS 공격에 사용되기도 했다. 많은 사용자가 스마트 기기의 기본 관리 자격 증명을 변경하지 않는다는 점을 이용해 주로 웜 같은 방식으로 텔넷 연결을 통해 확산되었다.

최초의 미라이 봇넷은 더 이상 활동하지 않지만 소스 코드가 개선사항과 추가적인 감영 방법이 추가된 최소 13가지의 봇넷을 위한 기본으로 사용되었다.

부시도, 헤이즈, 요와이는 폴리콤 HDX와 기타 기기에 접근하기 위해 무작위 비밀번호 추측 기법을 사용하여 텔넷을 통해 확산된다. 하지만 펌웨어 또는 관리 인터페이스의 취약성 악용도 가능하다고 WC의 연구원들이 밝혔다.

폴리콤은 봇넷 위협에 대해 조처를 하고 있다
사실 2월 20일 공개된 주의보에서 폴리콤은 고객들에게 "3.1.13 버전 이전의 소프트웨어로 구동하는 (폴리콤 HDX 엔드포인트)에는 이전에 폴리콤 보안 센터에 나열한 보안 취약성이 포함되어 있다"고 경고했으며 "이런 보안 취약성으로 인해 HDX 엔드포인트가 봇넷에 의한 탈취에 취약할 수 있다"고 밝혔다.

또한 폴리콤은 1월 주의보에서 고객들에게 안전하지 못한 방식으로 배치되거나 기본 비밀번호 또는 PIN이 변경되지 않은 통합된 통신기기를 표적으로 삼는 "끊임없는 사이버 위험"에 관해 경고했다. 해당 기업은 사용자들이 기기를 배치하고 방화벽을 설치할 때 자사의 보안 우수사례를 준수하도록 권고했다.

다른 많은 임베디드 기기와 마찬가지로 폴리콤 HDX 시스템은 리눅스의 변종으로 구동하며 비지박스 툴킷이 설치되어 있다. 이 패키지에는 가장 보편적인 리눅스 유틸리티의 가벼운 버전이 포함되어 있으며 공격자가 ARM이나 MIPS 등의 특정 임베디드 CPU 아키텍처를 위해 컴파일된 바이너리를 다운로드하여 실행할 필요 없이 악의적인 활동을 수행할 수 있는 능력을 제공한다.

WC의 연구원들은 <CSO>와 공유한 보고서에서 "기기 자체에 이런 바이너리가 있으면 공격자가 C&C 서버에서 추가적인 바이너리를 다운로드하지 않고 몰래 작업을 실행할 수 있다"며 "특히, 이 봇들은 다양한 작업을 수행하기 위해 비지박스, Wget, 기타 유사한 바이너리를 광범위하게 사용한다"고 밝혔다.

해킹된 폴리콤 기기는 기본 자격 증명이나 약한 자격 증명으로 텔넷을 통해 다른 시스템을 스캔하여 해킹할 뿐 아니라 DDoS 공격을 개시하는 데 사용된다. 왜냐하면 대부분의 봇넷은 지하 시장에서 DDoS 서비스를 판매하기 위해 사용되고 있기 때문이다. 또한 WC는 해킹된 기기가 명령 및 제어 서버와의 악의적인 통신을 라우팅하고 숨기기 위한 프록시로 사용되고 있음을 목격했다.
 
단 1개의 해킹된 기기가 네트워크 전체를 무너뜨린다
전화 인터뷰에서 WC의 연구원들은 수천 개의 폴리콤 HDX 기기가 인터넷에 노출되어 있지만 기업 네트워크 내부에 배치된 것들이 더 많다고 밝혔다. 1개의 시스템만 노출되고 잘못 구성하여 해킹되면 내부적으로 감염이 확산된다.

사실 연구원들은 다른 사무소에 있는 화상회의 엔드포인트들이 서로 연결된 폴리콤 HDX 배치를 보았다. 즉, 한 곳에서 감염이 가능하면 전 세계의 원격 지사로 확산될 수도 있다는 뜻이다.

기업이 자사 네트워크에 배치한 스마트 커넥티드 기기는 해커가 매력을 느끼기에 충분한 연산력을 보유하고 있으며 일반적으로 오픈소스 소프트웨어로 구동하기 때문에 이를 악용하기 위해 특별한 지식이 필요한 것이 아니다. 즉, 공격자는 이런 기기에서 찾을 수 있는 취약성이나 잘못된 구성을 악용할 방법을 지속해서 탐색하고 있으며 안타깝게도 많은 조직이 이런 해킹을 발견할 수 있는 시인성이 없다.

공격자는 기업 네트워크에서 해킹된 IoT 기기를 우회하기 위한 기점이자 민감한 데이터를 처리하는 서버와 워크스테이션 등의 다른 내부 시스템 공격을 위한 발사대로 손쉽게 활용할 수 있다. WC의 연구원들은 심지어 공격자가 원하면 폴리콤 화상회의 기기에서 이루어지는 대화도 염탐할 수 있다고 말했다.

일반적으로 중소기업은 스마트 커넥티드 카 기기 구성과 관련된 지식이 없다고 연구원들은 <CSO>에 밝혔다. 사람들은 화상회의 같은 주요 기능을 위한 것으로 보며 자신들이 유발하는 다른 위험이나 감염 가능한 방식에 대해 이해하지 못하기 때문에 사용자에게 정보를 제공하고 이런 기기들이 네트워크에서 무슨 일을 할 수 있는지 확인하기 위해 필요한 툴과 솔루션을 제공하는 것이 하나의 과제라고 그들은 전했다. ciokr@idg.co.kr
 



2019.02.22

'화상회의 시스템도 안전하지 않다' IoT 봇넷 등장

Lucian Constantin | CSO
기업들이 지난 수년 동안 자사 네트워크에 사물인터넷(IoT) 기기를 추가했으며 인터넷에 대한 노출이 증가하는 경우도 많았다. 이로 인해 NAS(Network Attached Storage) 박스, 감시 카메라, 디지털 비디오 기록, 화상회의 시스템 등을 통제하기 위해 안전하지 못한 구성과 취약성 악용에 특화된 봇넷이 최근 등장했다.
 
ⓒCredit: Magdalena Petrova
지난 8월, IoT 보안 신생업체 WC(WootCloud)의 연구원들은 폴리콤이 만든 기업용 화상회의 시스템을 감염시키는 OMNI라는 봇넷을 발견했다. 그 이후로 해당 기업은 기타 리눅스 기반의 임베디드 기기 외에 같은 유형의 시스템을 표적으로 삼는 3개의 봇넷을 추가로 발견했다.

폴리콤 HDX 시리즈 엔드포인트를 표적으로 삼는 이 새로운 3가지 봇넷은 부시도(Bushido), 헤이즈(Hades), 요와이(Yowai)이며 2016년에 소스 코드가 유출된 미라이 봇넷에 기초하고 있다. 미라이는 수십만 개의 IoT 기기를 감염시키는 데 성공했으며 역사상 가장 큰 DDoS 공격에 사용되기도 했다. 많은 사용자가 스마트 기기의 기본 관리 자격 증명을 변경하지 않는다는 점을 이용해 주로 웜 같은 방식으로 텔넷 연결을 통해 확산되었다.

최초의 미라이 봇넷은 더 이상 활동하지 않지만 소스 코드가 개선사항과 추가적인 감영 방법이 추가된 최소 13가지의 봇넷을 위한 기본으로 사용되었다.

부시도, 헤이즈, 요와이는 폴리콤 HDX와 기타 기기에 접근하기 위해 무작위 비밀번호 추측 기법을 사용하여 텔넷을 통해 확산된다. 하지만 펌웨어 또는 관리 인터페이스의 취약성 악용도 가능하다고 WC의 연구원들이 밝혔다.

폴리콤은 봇넷 위협에 대해 조처를 하고 있다
사실 2월 20일 공개된 주의보에서 폴리콤은 고객들에게 "3.1.13 버전 이전의 소프트웨어로 구동하는 (폴리콤 HDX 엔드포인트)에는 이전에 폴리콤 보안 센터에 나열한 보안 취약성이 포함되어 있다"고 경고했으며 "이런 보안 취약성으로 인해 HDX 엔드포인트가 봇넷에 의한 탈취에 취약할 수 있다"고 밝혔다.

또한 폴리콤은 1월 주의보에서 고객들에게 안전하지 못한 방식으로 배치되거나 기본 비밀번호 또는 PIN이 변경되지 않은 통합된 통신기기를 표적으로 삼는 "끊임없는 사이버 위험"에 관해 경고했다. 해당 기업은 사용자들이 기기를 배치하고 방화벽을 설치할 때 자사의 보안 우수사례를 준수하도록 권고했다.

다른 많은 임베디드 기기와 마찬가지로 폴리콤 HDX 시스템은 리눅스의 변종으로 구동하며 비지박스 툴킷이 설치되어 있다. 이 패키지에는 가장 보편적인 리눅스 유틸리티의 가벼운 버전이 포함되어 있으며 공격자가 ARM이나 MIPS 등의 특정 임베디드 CPU 아키텍처를 위해 컴파일된 바이너리를 다운로드하여 실행할 필요 없이 악의적인 활동을 수행할 수 있는 능력을 제공한다.

WC의 연구원들은 <CSO>와 공유한 보고서에서 "기기 자체에 이런 바이너리가 있으면 공격자가 C&C 서버에서 추가적인 바이너리를 다운로드하지 않고 몰래 작업을 실행할 수 있다"며 "특히, 이 봇들은 다양한 작업을 수행하기 위해 비지박스, Wget, 기타 유사한 바이너리를 광범위하게 사용한다"고 밝혔다.

해킹된 폴리콤 기기는 기본 자격 증명이나 약한 자격 증명으로 텔넷을 통해 다른 시스템을 스캔하여 해킹할 뿐 아니라 DDoS 공격을 개시하는 데 사용된다. 왜냐하면 대부분의 봇넷은 지하 시장에서 DDoS 서비스를 판매하기 위해 사용되고 있기 때문이다. 또한 WC는 해킹된 기기가 명령 및 제어 서버와의 악의적인 통신을 라우팅하고 숨기기 위한 프록시로 사용되고 있음을 목격했다.
 
단 1개의 해킹된 기기가 네트워크 전체를 무너뜨린다
전화 인터뷰에서 WC의 연구원들은 수천 개의 폴리콤 HDX 기기가 인터넷에 노출되어 있지만 기업 네트워크 내부에 배치된 것들이 더 많다고 밝혔다. 1개의 시스템만 노출되고 잘못 구성하여 해킹되면 내부적으로 감염이 확산된다.

사실 연구원들은 다른 사무소에 있는 화상회의 엔드포인트들이 서로 연결된 폴리콤 HDX 배치를 보았다. 즉, 한 곳에서 감염이 가능하면 전 세계의 원격 지사로 확산될 수도 있다는 뜻이다.

기업이 자사 네트워크에 배치한 스마트 커넥티드 기기는 해커가 매력을 느끼기에 충분한 연산력을 보유하고 있으며 일반적으로 오픈소스 소프트웨어로 구동하기 때문에 이를 악용하기 위해 특별한 지식이 필요한 것이 아니다. 즉, 공격자는 이런 기기에서 찾을 수 있는 취약성이나 잘못된 구성을 악용할 방법을 지속해서 탐색하고 있으며 안타깝게도 많은 조직이 이런 해킹을 발견할 수 있는 시인성이 없다.

공격자는 기업 네트워크에서 해킹된 IoT 기기를 우회하기 위한 기점이자 민감한 데이터를 처리하는 서버와 워크스테이션 등의 다른 내부 시스템 공격을 위한 발사대로 손쉽게 활용할 수 있다. WC의 연구원들은 심지어 공격자가 원하면 폴리콤 화상회의 기기에서 이루어지는 대화도 염탐할 수 있다고 말했다.

일반적으로 중소기업은 스마트 커넥티드 카 기기 구성과 관련된 지식이 없다고 연구원들은 <CSO>에 밝혔다. 사람들은 화상회의 같은 주요 기능을 위한 것으로 보며 자신들이 유발하는 다른 위험이나 감염 가능한 방식에 대해 이해하지 못하기 때문에 사용자에게 정보를 제공하고 이런 기기들이 네트워크에서 무슨 일을 할 수 있는지 확인하기 위해 필요한 툴과 솔루션을 제공하는 것이 하나의 과제라고 그들은 전했다. ciokr@idg.co.kr
 

X