Gafgyt

Gafgyt 변종 악성코드 분석 – Yakuza Bot

Gafgyt는 현재 Mirai와 함께 가장 많이 유포되고 있는 IoT 악성코드다. 그 목적도 동일하게 DDoS 공격이며 봇넷을 확보하기 위해 취약한 다른 IoT 장비들을 감염시킨다는 점도 동일하다. Gafgyt는 Bashlite 또는 Qbot이라고도 불리며 Mirai 처럼 소스 코드가 공개되어 있어서 수많은 변종들이 지금까지 발견되고 있다. 원본 소스 코드뿐만 아니라 악성코드 제작자들이 기능을 더한 변종들의 소스 코드들도 다수 확인된다. 여기에서는 악성코드 제작자가 Yakuza라는 이름을 붙인 변종 악성코드를 다룬다. 초기 루틴 실행 시 먼저 현재 실행 중인 프로세스의 이름을 변경하는 형태의 분석 방해 기법 2가지가 사용된다….

사물인터넷 (IoT) 환경 위협하는 악성코드들

2016년 9월 브라이언 크렙스의 블로그 크렙스온시큐리티(KrebsOnSecurity)와 프랑스 인터넷 호스팅 업체 OVH에 대해 기록적인 DDoS 공격이 발생하고 2016년 10월 21일 금요일 오전 미국 인터넷 호스팅 서비스업체 딘(Dyn)이 DDoS 공격을 당한 사건이 일어났다. 이로 인해 에어비앤비(Airbnb), 페이팔(PayPal), 넷플릭스(Netflix), 사운드 클라우드(SoundCloud), 트위터(Twitter), 뉴욕타임스(The New York Times) 등 여러 사이트에서 접속 장애가 발생했다. 이들 공격에는 사물인터넷(Internet of Things, IoT)을 감염시키는 미라이(Mirai)라는 악성코드가 이용되었음이 밝혀진다. 현재 여러 운영체제가 IoT의 주도권을 놓고 경쟁하고 있으며 이중 임베디드 리눅스(Embedded Linux)가 많이 사용되고 있다. 우리가 흔히 접할 수 있는 인터넷 공유기, 셋톱 박스, NAS(Network Attached Storage), 디지털 비디오 레코더, IP 카메라 등에 임베디드 리눅스가 이용되고 있다. 이들 시스템은 데스크톱과 비교했을 때는 저성능이지만 다른 IoT 제품보다는 컴퓨터에 가까워 공격자들의 우선 목표가 되고 있다. 이러한 임베디드 리눅스 시스템을 겨냥한 악성코드는 2008년 처음…