다수의 봇넷이 IoT 기반 분산 서비스 거부(DDoS) 공격을 위해 장치를 손상시키기 위해 TP-Link 라우터의 거의 1년 된 명령 주입 취약점을 공격하고 있습니다.

이미 해당 결함에 대한 패치가 있으며 다음과 같이 추적됩니다. CVE-2023-1389, TP-Link Archer AX21(AX1800) Wi-Fi 라우터의 웹 관리 인터페이스에 있으며 장치 버전 1.1.4 빌드 20230219 이하에 영향을 미칩니다.

그러나 위협 행위자들은 패치가 적용되지 않은 장치를 활용하여 Moobot, Miori, AGoent 등 다양한 봇넷을 파견하고 있습니다. Gafgyt 변종및 악명 높은 Mirai 봇넷의 변종 — DDoS 및 추가 사악한 활동을 위해 장치를 손상시킬 수 있다고 합니다. 블로그 게시물 Fortiguard Labs 위협 연구에서 제공됩니다.

"최근에 우리는 이 오래된 취약점에 초점을 맞춘 여러 공격을 관찰했습니다." 미 라이 봇넷, Fortiguard 연구원 Cara Lin과 Vincent Li의 게시물에 따르면. Fortiguard의 IPS 원격 측정은 심각한 트래픽 피크를 감지하여 연구원들에게 악의적인 활동을 경고했다고 말했습니다.

TP-Link 결함 악용

TP-Link에 따르면 이 결함은 라우터 관리 인터페이스의 "국가" 필드가 삭제되지 않는 시나리오를 생성하므로 "공격자가 악의적인 활동에 악용하여 발판을 마련할 수 있습니다"라고 합니다. 보안 권고 결함 때문에.

Lin과 Li는 “이것은 웹 관리 인터페이스를 통해 사용할 수 있는 '로케일' API의 인증되지 않은 명령 주입 취약점입니다."라고 설명했습니다.

이를 악용하기 위해 사용자는 지정된 형식인 "국가"를 쿼리하고 "쓰기" 작업을 수행할 수 있으며, 이는 "set_country" 함수에 의해 처리된다고 연구진은 설명했습니다. 해당 함수는 "merge_config_by_country" 함수를 호출하고 지정된 형식 "country"의 인수를 명령 문자열에 연결합니다. 그런 다음 이 문자열은 "popen" 함수에 의해 실행됩니다.

연구원들은 "'국가' 필드가 비어 있지 않기 때문에 공격자는 명령 주입을 달성할 수 있습니다."라고 썼습니다.

포위 공격을 위한 봇넷

작년에 결함이 공개되었을 때 TP-Link의 권고에는 Mirai 봇넷의 악용에 대한 인정이 포함되었습니다. 그러나 그 이후로 다른 봇넷과 다양한 Mirai 변종도 취약한 장치를 공격하기 시작했습니다.

하나는 먼저 공격자가 제어하는 ​​웹사이트에서 스크립트 파일 "exec.sh"를 가져와 공격한 다음 다양한 Linux 기반 아키텍처의 ELF(Executable and Linkable Format) 파일을 검색하는 Golang 기반 에이전트 봇인 Agoent입니다.

그런 다음 봇은 두 가지 기본 동작을 실행합니다. 첫 번째는 임의의 문자를 사용하여 호스트 사용자 이름과 비밀번호를 생성하는 것이고, 두 번째는 명령 및 제어(C2)와 연결을 설정하여 장치 탈취를 위해 악성코드가 방금 생성한 자격 증명을 전달하는 것입니다. 연구원들은 말했다.

Gafgyt 변종이라고 불리는 Linux 아키텍처에서 서비스 거부(DoS)를 생성하는 봇넷도 스크립트 파일을 다운로드 및 실행한 다음 접두사 파일 이름이 "rebirth"인 Linux 아키텍처 실행 파일을 검색하여 TP-Link 결함을 공격하고 있습니다. 그런 다음 봇넷은 손상된 대상 IP와 아키텍처 정보를 얻고 이를 초기 연결 메시지의 일부인 문자열로 연결한다고 연구원들은 설명했습니다.

연구원들은 “악성코드는 C2 서버와 연결을 설정한 후 서버로부터 지속적인 'PING' 명령을 수신하여 손상된 대상에 대한 지속성을 보장합니다."라고 썼습니다. 그런 다음 다양한 C2 명령이 DoS 공격을 생성할 때까지 기다립니다.

연구원들은 Moobot이라는 봇넷도 공격자의 C2 서버의 명령을 통해 원격 IP에 대한 DDoS 공격을 수행하기 위해 결함을 공격하고 있다고 밝혔습니다. 봇넷은 다양한 IoT 하드웨어 아키텍처를 표적으로 삼고 있지만 Fortiguard 연구원들은 "x86_64" 아키텍처용으로 설계된 봇넷의 실행 파일을 분석하여 악용 활동을 확인했다고 밝혔습니다.

A 미라이의 변종 연구원들은 또한 C&C 서버에서 패킷을 보내 엔드포인트에 공격을 시작하도록 지시하는 방식으로 결함을 악용하여 DDoS 공격을 수행하고 있다고 밝혔습니다.

“지정된 명령은 VSE(Valve Source Engine) 플러드에 대해 0x01이며 지속 시간은 60초(0x3C)이며 무작위로 선택된 피해자의 IP 주소와 포트 번호 30129를 대상으로 합니다.”라고 그들은 설명했습니다.

연구원들은 또 다른 Mirai 변종인 Miori도 손상된 장치에 대한 무차별 대입 공격을 수행하는 데 가담했다고 밝혔습니다. 또한 그들은 작년에 활성화된 봇넷 버전과 일관성을 유지하는 Condi의 공격도 관찰했습니다.

이 공격은 시스템 종료 또는 재부팅을 담당하는 바이너리를 삭제하여 재부팅을 방지하는 기능을 유지하며, 사전 정의된 문자열로 활성 프로세스와 상호 참조를 검사하여 일치하는 이름을 가진 프로세스를 종료한다고 연구진은 밝혔습니다.

DDoS를 방지하기 위한 패치 및 보호

IoT 환경을 표적으로 삼기 위해 장치 결함을 이용하는 봇넷 공격은 "가차없는" 공격이므로 사용자는 DDoS 봇넷을 경계해야 합니다."라고 연구진은 지적했습니다. 실제로 IoT 공격자들은 다음과 같은 방법으로 공격을 강화하고 있습니다. 패치되지 않은 장치 결함에 대한 공격 정교한 공격 계획을 더욱 발전시키기 위해.

TP-Link 장치에 대한 공격은 영향을 받는 장치에 사용 가능한 패치를 적용함으로써 완화될 수 있으며, "네트워크 환경을 감염으로부터 보호하고 악의적인 위협 행위자의 봇이 되는 것을 방지하기 위해" 다른 모든 IoT 장치에 대해 이 관행을 따라야 합니다. 연구자들은 썼다.

Fortiguard는 또한 서버 관리자가 공격을 식별하는 데 도움이 될 수 있는 C2 서버, URL 및 파일을 포함하여 다양한 봇넷 공격에 대한 다양한 손상 지표(IoC)를 게시물에 포함했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/ics-ot-security/various-botnets-pummel-tp-link-flaw-iot-attacks