해킹으로부터 보호하기 위해 당신의 기기를 해킹하는 봇넷 발견

최근 언론은 ‘vigilante hacker’ 해커라고 불리는 누군가가 취약한 IoT 장비들을 해킹하여 다른 해킹공격으로 부터 보호하려는 활동을 하고 있다고 밝혔습니다.

이 최신 IoT 봇넷 악성코드는 Hajime라고 불립니다. 이는 이미 최소 10,000개 이상의 홈 라우터, 인터넷 카메라를 포함한 스마트 기기들을 감염시켰습니다. 하지만 이런 활동은 Mirai와 다른 악성 위협으로부터 기기를 보호하기 위한 것이라고 알려졌습니다.

Mirai는 작년 10월 DNS 제공 업체인 Dyn에 기록적인 DoS 공격을 가해 인터넷을 위협한 IoT 봇넷으로,  기본설정 패스워드를 사용하는 IoT 기기를 탐색하도록 설계되었습니다.

Hajime 봇넷은 Mirai와 매우 유사하게 동작합니다. 텔넷 포트가 열려있고 기본설정 패스워드를 사용하는 IoT 기기들에 유포됩니다. 또한 Mirai 봇넷이 사용하는 계정 및 패스워드 조합 목록과 동일한 목록을 사용합니다.

Hajime 봇넷의 흥미로운 점은 Mirai와 달리 IoT 기기를 공격하는데 사용된 공격 벡터들로 알려진 4개의 포트(23, 7537, 5555, 5358)에 대한 접근을 타겟 기기에서 차단하여 Mirai와 다른 위협들로부터 기기를 보호한다는 것입니다.

Hajime는 Mirai와 달리 분산된 p2p 네트워크(C&C 서버 대신)를 사용해 감염된 기기에 명령어 및 업데이트를 전송합니다. 이를 통해 ISP나 인터넷 백본 공급자가 봇넷을 제거하는 것을 더욱 어렵게 만듭니다.

이 외에도, Hajime 봇넷은 감염된 기기가 또 다른 취약한 기기들을 탐색한 후 감염시키는 기능과 DDoS 또는 다른 해킹 코드를 포함하지 않습니다. 이 봇넷은 다음과 같은 암호화 서명된 메시지를 매 10분마다 표시합니다.

Hajime는 기기의 RAM에 로드되는 지속 메커니즘을 포함하고 있지 않기 때문에 IoT 장치가 재부팅 되면 다시 Hajime에 감염되기 전인, 안전하지 않은 상태로 되돌아갑니다.

해킹을 막기 위해 누군가를 해킹하는 것은 옳지 않은 일입니다. 따라서 관련 업체들은 FBI가 합법적으로 모든 국가의 컴퓨터에 침입해 데이터를 취하고, 원격으로 감시할 수 있는 권한을 주는 Rule 41에 대해 우려하고 있습니다.

또한 Hajime의 제작자가 추후 공격적인 기능을 추가하지 않을 것이라는 보장이 없다는 점도 명심해야 할 것입니다.

참고 :

http://thehackernews.com/2017/04/vigilante-hacker-iot-botnet.html

https://www.symantec.com/connect/blogs/hajime-worm-battles-mirai-control-internet-things