1. 틴트(Ttint) 봇넷이란?
원격 접근 트로이목마(RAT)로, 미라이(Mirai)를 기본으로 하고 DDoS 공격기능을 탑재하고 있는
봇넷이다.
★미라이(Mirai)
loT 장비를 해킹하여 DDoS공격을 발생시키는 악성코드이다.
->차별점 : 웹 소킷 프로토콜을 사용한다
2. 공격 기능
①소켓5(Socket5) 프록시 기능
②라우터 DNS 조작 기능
: 영향을 받는 라우터 장치아래에서 사용자의 네트워크 접근을 가로채어 중요한 정보를
감시하거나 훔칠 수 있다.
③iptable 조작 기능
: 조작을 통해, 트래픽 포워딩(forwarding)과 target address 변환을 쉽게 달성할 수 있다.
④시스템 명령어 실행 기능
: popen 함수를 통해 C2에서 실행한 사용자 지정 시스템 명령을 실행한다
3. 공격 특징
①탐지되는 것을 피하기 위해 WSS(WebSocket over TLS) 프로토콜을 사용해 C&C 서버와 연락을 취함
②자신의 트래픽을 암호화함
③라우터의 인트라넷을 원격에서 접근
④프로세스 이름을 바꾸고, 감시 장치를 조작함
⑤리버스 쉘을 로컬 쉘처럼 활용
4. 공격 방법
①실행 시 자가 삭제하고 감시기(Watchdog)를 조작한다.
②장치가 재가동되지 않도록 포트를 바이딩(binding)하여 단일 인스터스로 실행한다.
③피해자를 혼란스럽게 만들기 위해 프로세스 이름을 수정한다.
④최종적으로 암호 해독된 C2, 장치 정보 reporting과 함께 연결을 완료한다.
⑤공격 또는 피해자 기능을 실행한다.
5. 공격을 이용하여
텐다의 라우터에서 발견된 제로데이(Zero day) 취약점인 CVE-2020-10987을 익스플로잇을 하고 있었다.
그 다음 올해 8월부터는 두 번째 제로데이를 추가로 익스플로잇 하기 시작했다.
->텐다 측은, 이 두 가지 제로데이에 대해 아무런 조치를 취하지도 않고 있으며 답장도 없는 상태라고 한다.
참고: www.boannews.com/media/view.asp?idx=91617
: blog.netlab.360.com/ttint-an-iot-remote-control-trojan-spread-through-2-0-day-vulnerabilities/
'최근 보안동향' 카테고리의 다른 글
| 블루크랩(Js.BlueCrab) 랜섬웨어에 대해 (0) | 2020.11.12 |
|---|---|
| 블리딩투스(Bleeding Tooth) 취약점에 대해 (0) | 2020.10.16 |
| 블랙에너지(BlackEnergy) 3 멀웨어 (0) | 2020.09.18 |
| 틱톡 프로(TikTok Pro)에 대해 (0) | 2020.09.11 |
| 크립토시뷸(KryptoCibule)에 대해 (0) | 2020.09.07 |
