새로운 봇넷 XLabs_V1은 알려진 Mirai의 변종으로, Android 디버그 포트(ADB)를 활용하여 IoT 기기를 장악하고 있습니다. ADB가 실수로 활성화된 스마트 TV, 셋톱박스, 라우터에서 흔히 발견되는 포트 5555가 열려 있는 IP 주소를 스캔합니다. 침투成功后, 분산 서비스 거부(DDoS) 공격을 시작하기 위해 이들을 모집합니다. 문제 자체는 새로운 것이 아니지만, 그 규모는 새로운 수준입니다. 🔥
기술 계층에서의 악성코드 작동 방식 ⚙️
XLabs_V1은 대규모 스캔 모듈을 사용하여 노출된 포트 5555를 감지합니다. 발견 시, root 또는 shell과 같은 ADB 기본 자격 증명을 통해 인증을 시도합니다. 액세스에 성공하면, 상승된 권한으로 실행되는 악성 바이너리를 다운로드합니다. 이 바이너리는 다른 프로세스를 차단하고, 지속성을 위해 iptables 규칙을 수정하며, C2 서버에 연결됩니다. 그곳에서 TCP, UDP 또는 HTTP 트래픽으로 대상을 포화시키라는 명령을 받습니다. 감염은 조용히 이루어지며 사용자 인터페이스에 눈에 띄는 흔적을 남기지 않습니다.
묻지도 않고 더러운 일을 해주는 봇넷 😈
이 상황에서 가장 우스운 점은 이 기기들의 주인이 전혀 모른다는 것입니다. Netflix를 보는 데만 간신히 사용하는 스마트 TV가 사이버 전쟁의 병사로 초과 근무를 하고 있습니다. 그 동안 공격자는 자신의 좀비 셋톱박스와 라우터 군대가 한 푼도 들이지 않고 성장하는 모습을 보며 손을 비비고 있습니다. 적어도 기기들은 다른 사람들을 괴롭히는 데 사용되더라도 한 번쯤은 유용하다고 느낄 것입니다.