해킹당한 수만대의 CCTV로 구성된 대규모 봇넷이 발견되었다. 이 CCTV들은 DDoS 공격에 사용되고 있었다.
사물 인터넷(IoT)은 설계 시 보안이 반영되지 않아 해킹에 취약하다는 지적이 이어지는 가운데 미국 보안회사 스쿠리(Sucuri)는 인터넷에 접속된 25,000대 이상의 CCTV로 구성된 DDoS 공격용 봇넷을 발견했다고 발표했다.
스쿠리社는 DDoS 공격을 받고 있던 한 작은 보석상 웹사이트를 조사하는 과정에서 이같은 사실을 알게 되었다고 밝혔다. 며칠동안 계속된 공격에 사용된 총 25,513개의 아이피 주소를 추적한 결과 전세계 105개 이상 국가에 분포되어 있으며, 대만이 24%로 가장 많았고 그 다음이 미국(12%), 인도네시아(9%), 멕시코, 말레이시아 순이었다고 연구원들은 전했다.
공격에 사용된 CCTV들은 한결같이 모두 Cross Web Server와 BusyBox를 사용하고 있었다. BusyBox는 하나의 실행 파일에 유닉스용 툴들을 번들로 포함시킨 소프트웨어로 CCTV, 라우터, 네트워크 어플라이언스 등에 사용되고 있다. 지난 2014년 11월 트렌드마이크로는 ShellShock 취약점을 이용해 BusyBox 소프트웨어를 사용하는 기기를 감염시키는 새로운 BASHLITE 맬웨어 변종이 발견되었다고 발표한 바 있다.
- $ curl -sD – 122.116.xx.xx | head -n 10
- HTTP/1.1 200 OK
- Server:Cross Web Server
- Content-length: 3233
- Content-type: text/html
- DVR Components Download
CCTV들은 DDoS 공격이 발각되지 않도록 일반 브라우저로 위장하고 있었다고 한다.
- User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_4) AppleWebKit/534.57.5 (KHTML, like Gecko) Version/5.1.7 Safari/534.57.4
- User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.56 Safari/536.5
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
The CCTV devices belonging to the botnet also displayed “referrers” showing they had most recently visited sites including Engadget, Google, and USA Today.
연구원들은 공격자가 2014년 발견된 취약점을 이용한 것으로 보인다고 전했다. 이 취약점을 이용하면 원격지에서 70개 제조사의 CCTV에 대하여 임의의 코드 실행이 가능하다.
사물인터넷 봇넷이 발견된 것은 이번이 처음이 아니다. 보안회사 Imperva는 2014년 보안 설계상 취약하고 디폴트 패스워드를 쉽게 구할 수 있는 CCTV가 봇넷 공격에 사용될 위험성을 알린 바 있다. 그로부터 1년 뒤 Imperva는 900대 가량의 CCTV가 DDoS 공격에 사용되고 있다는 내용의 보고서를 발표했다. 이 CCTV 역시 BusyBox 툴킷을 사용하고 있었고 공격 규모는 초당 요청수가 20,000건에 달했다고 한다.
연구원들은 현재로서 웹사이트 관리자가 인터넷에 연결된 수백만대의 취약한 IoT 기기들이 봇넷으로 사용되는 것을 막는 방법은 없으며 25,000대의 CCTV들도 마찬가지라고 전했다. CCTV 사용자나 제조사가 보안 취약점을 패치하거나 CCTV를 인터넷에서 분리시키는 방법이 있지만 취약점을 패치하더라도 공격자는 이내 다른 방법을 찾아낼 것이라고 말했다. 연구원들은 웹사이트가 계속 다운되거나 DDoS 공격을 당한다면 DDoS 보호가 포함된 클라우드 기반 보안 솔루션 방화벽을 사용하는 것이 좋다고 덧붙였다.
출처: https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html