GN⁺: 호박 일식

 (blog.lumen.com)
1P by neo 2달전 | favorite | 댓글 1개

블랙 로터스 랩스의 보고서 요약

사건 개요

  • 사건 발생: 2023년 10월 25일부터 27일까지 72시간 동안, 하나의 인터넷 서비스 제공업체(ISP)에 속한 60만 개 이상의 소규모 사무실/가정용(SOHO) 라우터가 오프라인 상태가 됨.
  • 영향: 감염된 장치는 영구적으로 작동 불능 상태가 되었으며, 하드웨어 교체가 필요했음.
  • 주요 원인: "Chalubo"라는 원격 접근 트로이 목마(RAT)가 주요 원인으로 확인됨.

Chalubo 트로이 목마

  • 첫 발견: 2018년에 처음 발견됨.
  • 특징:
    • 디스크에서 모든 파일을 제거하고 메모리에서 실행됨.
    • 장치에 이미 존재하는 무작위 프로세스 이름을 사용함.
    • 명령 및 제어(C2) 서버와의 모든 통신을 암호화함.
  • 기능: DDoS 공격 수행, Lua 스크립트 실행 가능.

감염 과정

  • 초기 접근: 약한 자격 증명 또는 노출된 관리 인터페이스를 악용했을 가능성이 높음.
  • 감염 단계:
    • 첫 번째 단계: "get_scrpc" bash 스크립트를 통해 초기 페이로드 서버에 접근.
    • 두 번째 단계: 추가 스크립트와 페이로드를 다운로드하고 실행함.
    • 주요 파일: /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs 등.

글로벌 감염 현황

  • 활동성: 2023년 11월부터 2024년 초까지 Chalubo 악성코드가 매우 활발하게 활동함.
  • 감염 IP 주소: 2023년 10월 30일 기준으로 33만 개 이상의 고유 IP 주소가 감염됨.

결론

  • 특이점: 이번 공격은 특정 ASN에 국한되었으며, 60만 개 이상의 장치가 영향을 받음.
  • 공격 의도: 고의적인 펌웨어 업데이트를 통해 장치를 작동 불능 상태로 만듦.
  • 보안 권장 사항:
    • SOHO 라우터 관리 조직: 기본 비밀번호 사용 금지, 관리 인터페이스 보안 강화.
    • 일반 사용자: 라우터 정기 재부팅 및 보안 업데이트 설치.

GN⁺의 의견

  • 흥미로운 점: 이번 사건은 단일 ISP에 국한되었으며, 대규모 하드웨어 교체가 필요했던 점에서 매우 이례적임.
  • 보안 강화 필요성: SOHO 라우터와 IoT 장치의 보안 강화가 시급함.
  • 기술적 교훈: 악성코드가 메모리에서만 실행되고, 통신을 암호화하는 등 탐지를 회피하는 기술이 발전하고 있음.
  • 대체 솔루션: 비슷한 기능을 제공하는 다른 보안 솔루션이나 프로젝트를 검토할 필요가 있음.
  • 도입 시 고려사항: 새로운 보안 기술 도입 시, 기존 시스템과의 호환성 및 관리의 용이성을 고려해야 함.
neo 2달전  [-]
Hacker News 의견
  • 펌웨어 문제: 펌웨어 문제로 인해 발생한 문제를 해결하기 위해 플래시 칩의 쓰기 가능 라인을 차단하고 일일 재부팅을 예약하는 꿈을 가짐.
  • 위성 수신기 경험: 20년 전 위성 수신기에서 했던 것처럼 인터넷에 연결된 모든 장치를 전자 대책에 취약한 것으로 간주해야 함.
  • 업데이트 모니터링: 장비 업데이트를 모니터링하고 업데이트가 발생하면 알림을 주는 시스템 필요.
  • 기사 내용 부족: 기사가 흥미로운 세부 사항이 부족함. 라우터가 기본적으로 열려 있는 포트와 서비스를 가지고 있는지 궁금함.
  • 펌웨어 비교: 다른 펌웨어 버전을 비교할 수 있는지에 대한 의문.
  • OpenWrt 사용: 대부분의 사람들이 OpenWrt와 벤더 SDK를 사용하고 있는 것 같음.
  • 악성 업데이트 의심: 벤더가 악성 또는 손상된 업데이트를 보냈다는 의심.
  • ISP의 공식 성명 부재: ISP의 공식 성명이 없는 이유에 대한 의문. 공격이라면 조사가 필요함.
  • 미국의 처리 방식: 미국에서 이러한 문제가 어떻게 처리되는지에 대한 의문.
  • 봇 감염 가능성: 기계가 봇에 감염되었고 벤더가 모든 것을 망가뜨린 업데이트를 푸시했을 가능성.
  • 보안 사고 알림 필요: 고객으로서 보안 사고에 대해 알고 싶어함.
  • 펌웨어 이미지 링크 요청: 해당 장치의 펌웨어 이미지나 추가 세부 정보에 대한 링크 요청.
  • 트래픽 로그: Black Lotus Labs가 트래픽 로그를 통해 IP 간의 통신을 어떻게 아는지에 대한 의문.
  • Tor 보안 의문: Tor의 보안이 정말로 안전한지에 대한 의문.
  • x86 박스와 OpenWrt: 듀얼 NIC이 있는 작은 x86 박스를 구매하여 OpenWrt를 실행하는 것을 선호함. 오픈 소스, 많은 지원, 좋은 커뮤니티, Wireguard 지원.
  • HN 카르마 포인트 제안: HN에서 클릭베이트 제목을 개선한 제출자에게 카르마 포인트를 추가하는 제안.
  • 캐나다 정부의 유용한 권장 사항: 캐나다 정부의 유용한 권장 사항 링크.
  • 백도어와 펌웨어 버그: 60만 대의 라우터에 백도어를 설치하고 펌웨어 버그를 도입하면 발생하는 문제.
  • 업데이트 단계적 배포: 업데이트를 단계적으로 배포할 수 없는지에 대한 의문.
  • 기사 제목의 의미: 기사 제목의 의미에 대한 의문.
  • 혼란스러운 제목: 제목이 혼란스러웠던 사람들을 위해, 이는 60만 개의 개별 라우터의 파괴에 관한 것임.
  • 관련 기사: Ars Technica의 관련 기사 링크.
답변달기