11월 4주 - IoT 보안 뉴스 (Miraibotnet 라우터 하이제킹)

Mirai Botnet - 가정용 라우터를 탈취하다


요즘 전세계에 걸쳐 여러 문제가 있지만, 사이버 공격이 내 집에서 일어나고, 이전과 다르게 대응이 어려운 IoT 기기, CCTV, Router 등에서 발생하는 현실이 되었기에 관련자/전문가/행정에서 준비하기 전에 내 주변에서 위험에 대응하는게 어떻까 해서 글을 적습니다.  

Mirai Botnet 공개 후 봇넷에 대해 대응/보완/개선을 위한 장점보다 단점이 더 부각되는 것 같아서 안타깝습니다. 여기에 대처하는 관련 제조사, 인터넷 사업자 그리고 정부 관련자들도 아직은 소극적이고 일이 터지고 회피하는 습관 때문 일 것입니다. 우리는 현재 준비 안된 상태에서 제조사/사업자들이 보급을 확대하면서 편리함을 앞세워서 IoT 기기과 인터넷 사용에 필요한 기기를 관리를 하고/받고/사용하는 방법에서 보안을 무시하는 경향이 큽니다. 여러 편의에서 발생하는, 알수 없는 위협에 노출될 수 있어서 우려스러운 것입니다.

Mirai botnet 관련해서 미국, 러시아, 등등 기관에 대한 공격 소식이(11월 3주 - IoT 보안) 끝나기 무섭게, 이제 개인 인터넷에 있는 기기를 이용한 공격이 가해지고 있습니다.

아래 글은 원문 링크를 요약한 것으로, 아주 위험한 시기라고 느껴집니다. DDoS 공격 전에 가정용 라우터를 탈취할 수 있는 첫번째 사례이기 때문에 경각심을 느껴야 한다고 생각합니다. 이제라도 공공기관/기업/사무실 등에서 무말랭이 널어 놓듯이 방치된 라우터(공유기)에 대해 보안을 꼭 설정하고 가정에서도 꼭 살펴봐야 합니다.
------------------------------

독일의 백만 가구에서 인터넷일 불통되는 공격을 받았다고 독일 연방보안사무소가 밝혔다. 유럽 전역에서 지난 주말을 걸쳐 월요일까지 사이버 협력 공격으로 가정의 홈 라우터를 가로채는일이 발생했다.


  • Deutsche Telekom 2천만 가입자중 5%가 일요일에서 월요일까지 인터넷 중단을 격었다.(according to Reuters)


독일 인터넷 사업자게 가정에 제공하는 홈 라우터는 Mirai malware에 취약점을 드러냈다. 이 라우터는 Zyxel과 Speedport에서 만든 제품이고, 사업자들이 원격 관리를 위해 7547 포트를 통해 라우터 관리를 해왔다고 한다.
공격자는 이제까지 전형적인 Mirai Botnet이 활용한 CCTV, Web Cam 등을 통한 공격 명령 대신, 라우터를 탈취하도록 변경해 사용하고 있다.

Mirai Botnet 공격
  • 20 September 2016:  the Krebs on Security site ( 620 Gbps)
  • 1 Tbps attack on French web host OVH.[3]
  • On 21 October 2016: Dyn DNS multiple major DDoS attacks by IoT devices
  • November 2016:  Liberia's Internet infrastructure (Dyn과 같은 소스)

Mirai malware code를 수정해 라우터의 제어권을 하이제킹 Highjacking하게 만들었다고 한다. 여기에 대한 보고는 SANS ISC InfoSec Forum 에 처음으로 보고 되었다.
이와 같은 원격지에서 7547번 포트를 사용하는 장치가 인터네에 41백만개가 존재한다고 한다 (Kenn White의 트윗 링크)

-----

이건 우리 현실에도 상당히 무겁게 다가올 수 있습니다. 세계 초고속 인터넷 보급국이고 20,423,100 가입자(16년9월 현재, KISA)의 5% 수준의 라우터가 탈취되면, 무방비/무관심/무설정인 가정용/사무용 공유기들에서 무서운 사이버 공격이 감행될 수 있습니다.
만약 이화 같은 공격이 현재와 같이 민감한 시기에 심각한 정치 일정, 국민적 관심을 가진 일정이 진행하는 와중에 인터넷이 멈춘다면... 감히 상상하기 어려운 지경에 이를 수 있지요. 
Miraibotnet 으로 획득한 IoT 좀비 기기를 이용해 공격을 해주겠다는 돈을 노린 사업도 있다고 합니다. 10만개의 기기를 사용할 수 있고 $7500 이며 가능하다니...



가정 무선 공유기 / 유선 공유기 보안 설정

  우리나라 가정/사무실에 인터넷 설치시, 제공하는 라우터 (유/무선공유기)는 기본 패스워드만 설정되어 혹은 원격 관리가 가능하게 설치 될 수 있습니다. 또한 외부 업체가 관리해주는 사무실인 경우 라우터 관리 페이지 접근시 암호 설정을 하지 않은 곳이 다수 일 수 있습니다.

  • 업체 직원이 패스워드 걸어놓고 퇴사하면 모르게 되므로 패스워드를 안 걸 수 있습니
  • 예를 들어 admin ID에 패스워드 111111 혹은 000000 같은 손쉽게 예상할 수 있음
  • 또한 WiFi Update 기능이 있는 차량내 블랙박스 장치도 이런 패스워드를 사용하는 것 같습니다.



      확인이 꼭 필요한 상황입니다.

    아래는 개인적인 경험과 의견이므로 실제 시행하실 때는, 인터넷에서 가정용 공유기 설명서를 확인해 주세요.

      일반적으로 가정에서 인터넷 연결시 공유기라 불리는 라우터는 전문 관리자가 없더라도 인터넷 선을 꽃으면 연결한 컴퓨터에서 인터넷을 사용할 수 있는 자동IP 할당 방법을 사용합니다. 그러니 전원을 껏다 켜거나 공장초기화 등을 해도 즉시 사용할 수 있습니다.

      그리고 브라우저에서 192.168.0.1로 접속하면 공유기 관리자 페이지를 볼 수 있습니다.  처음에 패스워드 없이 로그인 할 수 있거나, 초기 패스워드를 넣게끔 한 제품도 있음, 만약 패스워드를 모르더라도 공장 초기화 버튼을 누르고 초기화 해서 사용하면 됩니다.

      초기화해도 공유기 기본설정은 WAN 포트에 인터넷 선을 연결하고, 가정용/사무용 컴퓨터로 유선/무선으로 접속하면 자동으로 IP를 할당받아 사용하니 어렵지 않습니다. 그리고 주기적으로 공유기 관리를 안하실 거면 다음 같이 외부/원격에서 사용하기 의심되는 설정해서 사용하셔야 합니다.

    1. 관리용 패스워드 설정 혹은 변경 - 어렵게/잘모르게 ㅎㅎ
     - 패스워드를 분실해도 공유기를 공장 초기화하고 패스워드 다시 설정하고
    2. 원격관리 해제
    3. telent 해제
    4. ping 해제
    5. ssh 해제


    Mirai botent관련한 소식은 다음 참조:

    11월 3주 - IoT 보안
    11월 1주 - IoT 보안
    10월 5주 - IoT 보안
    10월 4주 - IoT 보안
    대한민국 인터넷 대란

    댓글

    댓글 쓰기

    이 블로그의 인기 게시물

    Raspberry Pi에서 OpenAuto 로 Android Auto 사용하기 Wow!!!

    이미지
    라즈베리파이에서 안드로이드 오토를 터치스크린으로 사용하는 CrankShaft 프로젝트가 재미있어 보인다. 기사 원문:  Crankshaft Raspberry Pi Android Auto Head Crankshaft 는 라즈베리파이에서 터치스크린으로 안드로이드 오토 헤드를 사용하는 프로젝트이다. 라즈베리파이에서 안드로이드 오토 헤드 (출처: https://www.geeky-gadgets.com) OpenAuto Project  는 라즈베리파이에서 AndroidAuto 헤드유니트 에뮬레이터이다. 라즈베리파이에서 USB-C 로 연동된다. 지원되는 기능: 480p, 720p and 1080p with 30 or 60 FPS RaspberryPI 3 hardware acceleration support to decode video stream (up to 1080p@60!) Audio playback from all audio channels (Media, System and Speech) Audio input for voice commands Touchscreen and buttons input Bluetooth Automatic launch after device hotplug Automatic detection of connected Android devices Wireless (WiFi) mode via head unit server (must be enabled in hidden developer settings) User-friendly settings 아래 동영상 참조 이것을 활용한 프로젝트가 Huan Truong 이 개발한 CrankShaft 이다.
    계속 읽기

    Pi Jack - Raspberry Pi Power HAT

    이미지
    Pi Jack Pi Jacak 은 Raspberry Pi 2, 3 그리고 Zero에 6~28V 전원을 제공할 수 있다. 또한 HAT 형식으로 GPIO 를 통해 연장된다. Pi Jack / Raspberry Pi Zero Pi Jack / Raspberry Pi Model B 외부 전원 6V~28V 전원을 사용할 수 있다는 것에 장점이 있겠다.  - 자동차, 벽전원 등에서 6V~28V Adapter 사용 최대 1.7A 를 제공  - 3.5mm Jack, 추가적인 외부 전원 포트 Pi Jack layout 이 제품은 Raspberry Pi 가 중심이 되는 IoT 블록에 전원을 제공해야 하는 경우 유용하다. Omzlo platform 같은 대규모 Raspberry Pi <--> Arduino node 사이를 구성하는데 충분한 전력을 제공할 수 있다고 한다.
    계속 읽기

    Raspberry Pi Shake - 프로페셔널 개인 지진감지기

    이미지
    프로페셔널 수준 개인 지진계로 라즈베리파이에 장착하면 지구의 움직임을 감지할 수 있다. 원문:  Raspberry Shake Your Personal Seismograph Raspberry Pi Shake Project Raspberry Pi Shake 는 단일 채널의 4.5Hz 지진감지기로 전자적으로 50sps (Samples per second)에 18비트 디지타이저를 사용해 샘플링한다. 또한 멀리서 발생한 큰 지진을 기록할 수 있지만 미세하게 잃어 버릴 수 있고, 이런 짧은 주기인 0.5~15Hz 구간의 지진을 감지하고 기록할 수 있다: 멀리 떨어진 지진은 주기에서 적은 부분이 기록될 것이다. 이것은 80킬로미터 반경에서 진도2 이상, 반경 482미터 이상에서는 진도 4 이상의 지진을 기록한 디지털 기록계라고 말 할 수 있다.  다음 같이 Raspberry Pi shake 모듈을 라즈베리파이에 장착하고 이 기기는 두 개의 부분으로 구성되어 있다.  Geophone 주 센서로 지구 진동에 대한 마이크로 폰으로 geophne이 있다. geophone은 지리적, 기름 시추 비즈니스에서 수세기에 걸쳐 사용되 었다. 이것은 코일과 자석 사이에서 이동에 따라 적은 전류를 만들다. https://www.youtube.com/watch?v=vBID_tk5Bis 증폭기, 디지타이저와 ARM processor Geophone 에서 얻은 전류는 증폭기를 거쳐서 증폭된 후에 디지타이저가 디지털 신호로 변환하고 디지털 데이터가 ARM 프로세서에 전달되고 초당 한 패킷 단위로 라즈베리파이에 전달된다. Shield Raspberry Pi Shake는 모든 라즈베리파이 모델에 호환성을 갖고 있어서 Raspberry Pi B, B+, 2 와 3에 모두 사용할 수 있습니다. Shake 쉴드는 다음 같이 전원, 그라운드와 3개의 신호 핀을 사용합니다. 40 헤더 핀에서 다음 다섯 핀을 사용한다: Power / RPi Pin 2  Ground / RPi Pin 6  TX / RPi Pin
    계속 읽기