# 호박 일식 > Clean Markdown view of GeekNews topic #15108. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=15108](https://news.hada.io/topic?id=15108) - GeekNews Markdown: [https://news.hada.io/topic/15108.md](https://news.hada.io/topic/15108.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2024-06-01T08:39:28+09:00 - Updated: 2024-06-01T08:39:28+09:00 - Original source: [blog.lumen.com](https://blog.lumen.com/the-pumpkin-eclipse/) - Points: 1 - Comments: 1 ## Topic Body ### 블랙 로터스 랩스의 보고서 요약 #### 사건 개요 - **사건 발생**: 2023년 10월 25일부터 27일까지 72시간 동안, 하나의 인터넷 서비스 제공업체(ISP)에 속한 60만 개 이상의 소규모 사무실/가정용(SOHO) 라우터가 오프라인 상태가 됨. - **영향**: 감염된 장치는 영구적으로 작동 불능 상태가 되었으며, 하드웨어 교체가 필요했음. - **주요 원인**: "Chalubo"라는 원격 접근 트로이 목마(RAT)가 주요 원인으로 확인됨. #### Chalubo 트로이 목마 - **첫 발견**: 2018년에 처음 발견됨. - **특징**: - 디스크에서 모든 파일을 제거하고 메모리에서 실행됨. - 장치에 이미 존재하는 무작위 프로세스 이름을 사용함. - 명령 및 제어(C2) 서버와의 모든 통신을 암호화함. - **기능**: DDoS 공격 수행, Lua 스크립트 실행 가능. #### 감염 과정 - **초기 접근**: 약한 자격 증명 또는 노출된 관리 인터페이스를 악용했을 가능성이 높음. - **감염 단계**: - 첫 번째 단계: "get_scrpc" bash 스크립트를 통해 초기 페이로드 서버에 접근. - 두 번째 단계: 추가 스크립트와 페이로드를 다운로드하고 실행함. - **주요 파일**: `/usr/bin/usb2rci`, `/tmp/.adiisu`, `/tmp/crrs` 등. #### 글로벌 감염 현황 - **활동성**: 2023년 11월부터 2024년 초까지 Chalubo 악성코드가 매우 활발하게 활동함. - **감염 IP 주소**: 2023년 10월 30일 기준으로 33만 개 이상의 고유 IP 주소가 감염됨. #### 결론 - **특이점**: 이번 공격은 특정 ASN에 국한되었으며, 60만 개 이상의 장치가 영향을 받음. - **공격 의도**: 고의적인 펌웨어 업데이트를 통해 장치를 작동 불능 상태로 만듦. - **보안 권장 사항**: - SOHO 라우터 관리 조직: 기본 비밀번호 사용 금지, 관리 인터페이스 보안 강화. - 일반 사용자: 라우터 정기 재부팅 및 보안 업데이트 설치. #### GN⁺의 의견 - **흥미로운 점**: 이번 사건은 단일 ISP에 국한되었으며, 대규모 하드웨어 교체가 필요했던 점에서 매우 이례적임. - **보안 강화 필요성**: SOHO 라우터와 IoT 장치의 보안 강화가 시급함. - **기술적 교훈**: 악성코드가 메모리에서만 실행되고, 통신을 암호화하는 등 탐지를 회피하는 기술이 발전하고 있음. - **대체 솔루션**: 비슷한 기능을 제공하는 다른 보안 솔루션이나 프로젝트를 검토할 필요가 있음. - **도입 시 고려사항**: 새로운 보안 기술 도입 시, 기존 시스템과의 호환성 및 관리의 용이성을 고려해야 함. ## Comments ### Comment 25788 - Author: neo - Created: 2024-06-01T08:39:28+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=40525130) - **펌웨어 문제**: 펌웨어 문제로 인해 발생한 문제를 해결하기 위해 플래시 칩의 쓰기 가능 라인을 차단하고 일일 재부팅을 예약하는 꿈을 가짐. - **위성 수신기 경험**: 20년 전 위성 수신기에서 했던 것처럼 인터넷에 연결된 모든 장치를 전자 대책에 취약한 것으로 간주해야 함. - **업데이트 모니터링**: 장비 업데이트를 모니터링하고 업데이트가 발생하면 알림을 주는 시스템 필요. - **기사 내용 부족**: 기사가 흥미로운 세부 사항이 부족함. 라우터가 기본적으로 열려 있는 포트와 서비스를 가지고 있는지 궁금함. - **펌웨어 비교**: 다른 펌웨어 버전을 비교할 수 있는지에 대한 의문. - **OpenWrt 사용**: 대부분의 사람들이 OpenWrt와 벤더 SDK를 사용하고 있는 것 같음. - **악성 업데이트 의심**: 벤더가 악성 또는 손상된 업데이트를 보냈다는 의심. - **ISP의 공식 성명 부재**: ISP의 공식 성명이 없는 이유에 대한 의문. 공격이라면 조사가 필요함. - **미국의 처리 방식**: 미국에서 이러한 문제가 어떻게 처리되는지에 대한 의문. - **봇 감염 가능성**: 기계가 봇에 감염되었고 벤더가 모든 것을 망가뜨린 업데이트를 푸시했을 가능성. - **보안 사고 알림 필요**: 고객으로서 보안 사고에 대해 알고 싶어함. - **펌웨어 이미지 링크 요청**: 해당 장치의 펌웨어 이미지나 추가 세부 정보에 대한 링크 요청. - **트래픽 로그**: Black Lotus Labs가 트래픽 로그를 통해 IP 간의 통신을 어떻게 아는지에 대한 의문. - **Tor 보안 의문**: Tor의 보안이 정말로 안전한지에 대한 의문. - **x86 박스와 OpenWrt**: 듀얼 NIC이 있는 작은 x86 박스를 구매하여 OpenWrt를 실행하는 것을 선호함. 오픈 소스, 많은 지원, 좋은 커뮤니티, Wireguard 지원. - **HN 카르마 포인트 제안**: HN에서 클릭베이트 제목을 개선한 제출자에게 카르마 포인트를 추가하는 제안. - **캐나다 정부의 유용한 권장 사항**: 캐나다 정부의 유용한 권장 사항 링크. - **백도어와 펌웨어 버그**: 60만 대의 라우터에 백도어를 설치하고 펌웨어 버그를 도입하면 발생하는 문제. - **업데이트 단계적 배포**: 업데이트를 단계적으로 배포할 수 없는지에 대한 의문. - **기사 제목의 의미**: 기사 제목의 의미에 대한 의문. - **혼란스러운 제목**: 제목이 혼란스러웠던 사람들을 위해, 이는 60만 개의 개별 라우터의 파괴에 관한 것임. - **관련 기사**: Ars Technica의 관련 기사 링크.