보안업체 FireEye에 따르면 발견된 악성 프로그램은 'SYNful knock'입니다. 우크라이나, 필리핀, 멕시코, 인도 4개국에서 모두 14대의 라우터에서 나왔습니다. 라우터 종류로는 Cisco 1841, Cisco 2811, Cisco 3825의 세가지였습니다. 공격자가 영구적으로 네트워크에 침입할 수 있는 백도어가 구축되어 있었습니다.
시스코(Cisco) 라우터, 4개국 이상에서 백도어가 발견
따라서 'SYNful knock'이 네트워크에서 발견되면 백도어도 설치되었을 가능성이 있습니다. 이를 통해 공격자가 다른 네트워크에도 침입할 가능성이 높아서 매우 위험하다고 합니다.
시스코 발표에 따르면 SYNful knock은 root의 패스워드를 초기 설정에서 바꾸지 않았거나, 어떠한 형태로 패스워드가 알려진 기기를 이용하여 감염 범위를 넓히고 있다고 보고되었습니다. 공격을 받은 라우터 안에서 말웨어는 ROM Monitor와 ROMMON 펌웨어를 대체하여 작동한다고 합니다.
말웨어에는 Cisco 라우터의 IOS 이미지가 포함되어 있어 공격자가 감염된 기기를 조절할 수 있습니다. 또한 말웨어에 감염되면 비밀번호에 뒷문이 구축되어 무제한으로 라우터에 접근이 가능하게 됩니다. 라우터 인터페이스에 송신된 TCP 패킷을 이용하여 각 모듈을 HTTP프로토콜 경유로 이용할 수 있다고 합니다. TCP패킷은 백도어 패스워드 같은 기능을 하면서 콘솔이나 Telnet을 경유하여 라우터에 접속 가능합니다.
현재 감염이 발견된 디바이스의 소유자나 공격자가 누구인지는 판명되지 않습니다. 시스코는 라우터가 SYNful knock에 감염되어 있는지를 검출하는 방법을 공개하고 있습니다.
댓글 없음:
댓글 쓰기