해외소식 | 새로운 봇넷 Amnesia, 22만대 이상 DVR 공격

팔로알토 네트웍스 보안전문가 Rotem Kerner는 새로운 봇넷 Amnesia는 공격자가 패치 되지 않은 원격코드 실행 취약점을 이용해 DVR(Digital Video Recorder) 디바이스를 공격하도록 허락했다고 최근 밝혔다.

Amnesia가 주로 소매업체 시스템의 DVR에 진행한 두 가지 작업은 다음과 같다.

1. 호스트가 목표 소매업체에 속하는지 검증한다.

2. 로컬네트워크를 기반으로 POS기 시스템에 침입한다.

보안전문가 Kerner는 이미 지난해 3월에 해당 취약점을 보고했으나 제공업체의 답변을 얻지 못했다. 1년 후, 그는 취약점의 구체적인 정보를 공개발표 했다. Amnesia는 봇넷 Tsunami의 새로운 변종으로, 주로 임베디드 시스템 디바이스(특히 중국이 제조한 DVR디바이스)를 겨냥해 DDoS공격을 일으킨다.

조사에서 이 보안취약점은 지금까지 패치 되지 않아 현재 전세계의 약 227,000개의 DVR디바이스에 보안취약점이 존재하며 주로 대만, 미국, 이스라엘, 터키와 인도 등 지역, 국가에 분포되어 있는 것으로 나타났다.

그는 봇넷 Amnesia가 가상머신 회피 기술을 통해 샌드박스(Sandbox)를 우회 할 수 있으며, 목표 디바이스에 사이버공격을 펼칠 수 있다고 밝혔다. 가상머신 회피 기술은 통상적으로 윈도우 혹은 안드로이드 악성프로그램과 관련되어 있다.

만약 봇넷 Amnesia를 VirtualBox, VMware혹은 QEMU 가상 머신에서 작동시키면 파일삭제 기능을 통해 모든 파일을 삭제해 리눅스 시스템을 제거한다. 이 동작은 리눅스 악성프로그램 샌드박스 분석을 방해할 뿐 만 아니라 리눅스 서버에 이상을 초래할 수 있다.

팔로알토 전문가는 “Amnesia는 점차 사이버안전을 위협하는 주요 봇넷이 될 것이며 대규모 사이버공격에 사용될 수 있을 것”이라고 전망했다. 

기사원문