Dlink 취약점 공격

 - Mirai 변종 악성코드로 IoT 기기를 대상으로 SOAP 프로토콜을 기반으로한 D-Link HNAP(홈 네트워크 관리 프로토콜)

   의 취약점인 hxxp://purenetworks.com/HNAP1/을 사용해 인증을 우회하여 서비스 중지 또는 백도어 공격 시도

 

 - D-Link 취약 제품군 : DAP-1522 revB, DAP-1650 revB, DIR-880L, DIR-865L, DIR-860L revA, DIR-860L revB, 

                              DIR-815 revB, DIR-300 revB, DIR-600 revB, DIR-645, TEW-751DR, TEW-733GR

 

D-Link 라우터의 Home Network Automation Protocol (HNAP)이 스택 기반의 버퍼 오버플로우 취약점인 CVE-2016-6563에 취약한 것으로 밝혀졌습니다.

 

해당 취약점이 악용될 경우, 승인되지 않은 공격자가 루트 권한을 통해 원격으로 임의의 코드를 실행할 수 있도록 허용할 수 있습니다. 관련하여 Carnegie-Mellon CERT 보안 공지에서는 “HNAP 로그인 액션을 실행할 때 악성 변조된 SOAP 메시지를 처리하게 되면 스택 오버플로우가 야기된다. SOAP body 내의 취약한 XML 필드는 Action, Username, LoginPassword, Captcha이다.”고 밝히고 있습니다.

출처: https://blog.alyac.co.kr/870 [이스트시큐리티 알약 블로그]

 

퓨어마수타 멀웨어가 익스플로잇하는 취약점은 HNAP라는 프로토콜(Home Network Administration Protocol) 내에 위치하고 있으며 SOAP라는 또 다른 프로토콜(Simple Object Access Protocol)을 기반으로 하고 있다. 특정 도메인(hxxp://purenetworks.com/HNAP1/GetDeviceSettings)을 사용하여 인증 과정을 우회하는 SOAP 쿼리를 만듦으로써 최종적으로는 임의의 코드를 실행하는 것이다.

 

SOAP(Simple Object Access Protocol)

SOAP(Simple Object Access Protocol)은 일반적으로 널리 알려진 HTTP, HTTPS, SMTP 등을 통해 XML 기반의 메시지를 컴퓨터 네트워크 상에서 교환하는 프로토콜입니다. 간단하게 객체를 접근할 수 있는 프로토콜이란 의미입니다.

 

 SOAP은 웹 서비스에서 기본적인 메시지를 전달하는 기반이 되는데, SOAP에는 몇가지 형태의 메시지 패턴이 있지만, 보통의 경우 원격 프로시져 호출(Remote Procedure Call:RPC) 패턴으로, 네트워크 노드(클라이언트)에서 다른 쪽 노드(서버)로 메시지를 요청 하고, 서버는 메시지를 즉시 응답하게 되는 형식입니다.

 

즉, SOAP는 XML을 이용해서 분산처리 환경에서 정보교환을 쉽게 할 수 있도록 도와준다는 이야기입니다.

 

XML이 플랫폼에 종속적이지 않기 때문에 이기종간의 통신이 가능하다는 장점이 있어서 이러한 A장치와 B장치를 연결하는 네트워크를 구성할 때 주로 사용됩니다.

 

출처 : https://narup.tistory.com/80

 

봇넷(BotNet)?

 

1. 봇넷이란?

   - 좀비 디바이스(악성코드에 감염된 컴퓨터, 봇)로 구성된 네트워크

   - 봇마스터에 의해 원격 조종되며 각종 악성행위를 수행할 수 있는 수천에서 수십만대의 봇들이 네트워크로

     연결되있는 형태

   - 봇 좀비들에게 명령을 내리고 제어하기 위한 서버(C&C, Command & Control Server)방식을 사용

   - 최근 많은 변종들이 출현하고 있고, 초고속 인터넷 인프라가 잘 갖추어져 있는 곳 선호

​   ※ 봇마스터: 봇들을 자유자재로 통제하는 권한을 가짐

 

2. 봇넷의 구성

  1) 봇넷 컨트롤러 : 봇넷을 컨트롤 하는 공격자

​

  2) C&C 서버 : 공격자의 명령과 컨트롤을 맡고 있는 서버

      - 메인 디바이스로 좀비 디바이스에게 명령 하달 및 좀비 디바이스로부터 정보 수신

​

  3) P2P 봇넷 : 분산식 좀비 디바이스 네트워크 사용

      - 봇넷을 보호하고 네트워크가 끊기는 것을 방지하기 위해 사용

​

  4) 좀비 디바이스 : 봇넷 중 인터넷을 통해 연결되어 있는 각각의 디바이스

      - 최근에는 스마트폰, 태블릿, IoT 등 다양화 되고있음

 

출처 : https://peemangit.tistory.com/299

미라이(Mirai)?

2016년에 발생한 미라이(Mirai) 사건은 IoT 상으로 커넥티드 디바이스가 어떻게 공격 무기가 될 수 있는지 보여줬다. 미라이는 마인크래프트 광이었던 대학생 파라스 자(Paras Jha)가 친구들과 함께 개발했다. 파라스 자는 마인크래프트 호스트를 통해 금전적 이익을 취하기 위해 DDoS 공격을 사용해 경쟁 호스트들을 다운시키려고 시도했다. 먼저 그는 보안에 취약한 IoT 디바이스들을 활용했다. 인터넷을 스캔해 공장에서 출하할 때 디폴트 사용자이름과 패스워드를 여전히 사용하고 있는 텔넷(Telnet) 포트들을 찾아냈다. 이후 수많은 폐쇄회로 TV 카메라와 라우터들을 모집했다.

맨 먼저 파라스 자와 무리들은 마인크래프트 게임을 호스트했던 프랑스의 텔레콤 호스트 OVH를 목표로 했다. 그 결과 1.5Tbps의 기록적인 트래픽으로 공격했다. 이후에는 인터넷으로 연결된 150만 개의 카메라들을 동원해 유명한 사이버 보안 블로그를 다운시키고, 미라이 소스 코드를 공개해 누구든지 자신만의 봇넷을 제작할 수 있게 만들었다. 마지막으로는 Dyn에 1.2Tbps로 대대적 공격을 가해 트위터, 넷플릭스, 스포티파이, 깃허브, 에어비앤비, 사운드클라우드 등 다수의 사이트에 접속 장애를 일으켰다.

파라스 자와 공범들이 체포된 이후에도, 미라이는 그 유연성과 적응력 때문에 여전히 웹 상에서 문제를 일으키고 있다. 100만 명의 독일 통신 사용자들과 영국의 라우터 수천 대가 영향을 받았다. 특히, 다수의 소니 카메라 모델이 미라이 공격에 취약한 것으로 드러났다. 최근에는 미라이의 변종으로 여겨지고 있는 사토리(Satori)와 리퍼(Reaper) 봇넷이 등장

출처 : https://www.epnc.co.kr/news/articleView.html?idxno=100476 

 

 

 

 

 

Mozi는 미라이 변종 및 Gafgyt 악성코드에서 코드를 차용한 IoT 봇넷

 

Mozi 봇넷은 넷기어를 집중 표적으로 삼고 있으며 또 D-Link 및 화웨이 라우터의 취약한 텔넷 암호를 검색해 공격하는 것으로 알려져 있다.

마이크로소프트 IoT 보안연구원에 따르면, Mozi 봇은 온라인에서 장치를 무차별 대입하거나 패치되지 않은 취약점을 악용해 확산된다고 전했다.

또 “봇넷이 라우터를 감염시키면 HTTP 하이재킹 및 DNS 스푸핑을 통해 MITM(man-in-the-middle) 공격을 수행해 엔드포인트를 손상시키고 랜섬웨어를 배포하거나 OT 시설에서 안전 사고를 일으킬 수 있다”고 덧붙였다.

https://www.dailysecu.com/news/articleView.html?idxno=127941