홈 라우터 65,000개 이상, 봇넷과 APT의 악성 트래픽 프록싱에 악용되고 있어

Over 65,000 Home Routers Are Proxying Bad Traffic for Botnets, APTs

봇넷 운영자들과 APT 그룹들이 모든 현대의 라우터들에 포함 된 UPnP 프로토콜을 악용해 악성 트래픽을 프록싱하고 자신들의 실제 위치를 숨기는 것으로 나타났습니다.

Akamai가 지난 월요일 발행한 보고서에서는 악성 공격자들이 은밀한, 또는 불법 행위를 위해 최소 65,000개의 라우터를 악용하여 프록시 네트워크를 생성했다고 밝혔습니다.

공격자들, UPnP 프로토콜 악용

Akamai에 따르면, 공격자들은 로컬 Wi-Fi가 활성화 된 기기와 쉽게 상호작용하고 인터넷에 포트와 서비스를 포워딩 할 수 있도록 하는 기능인 UPnP 프로토콜을 악용하고 있다고 밝혔습니다. 

UPnP 프로토콜은 오늘날 대부분의 라우터의 중요한 서비스지만, 이 프로토콜은 10년 전부터 안전하지 않은 것으로 밝혀졌으며 악성코드 제작자들은 다양한 UPnP 결점들을 악용해 왔습니다.

전문가들은 공격자들이 일부 라우터들이 WAN(외부 인터넷) 인터페이스를 통해 내부 장치 검색을 위해 UPnP 서비스들을 노출시킨다는 사실을 발견했다고 밝혔습니다.

공격자들, NAT 인젝션을 위해 UPnP 악용해

해커들은 라우터의 내부 네트워크의 IP와 포트들이 상위 네트워크(일반적으로 인터넷을 의미함)에 매핑 되는 방식을 제어하는 룰 세트인 NAT(Network Address Translation)테이블의 내부에 악성 루트를 인젝션 하는데 잘못 구성 된 UPnP 서비스들을 악용해왔습니다.

이러한 커스텀 NAT 룰들은 공격자가 라우터의 특정 포트의 공개 IP에 연결하도록 허용하지만, 자동으로 또 다른 IP:포트 조합으로 리디렉트 됩니다. 즉, 이 결함은 공격자들이 잘못 구성 된 UPnP 서비스들을 프록시 서버로 이용할 수 있다는 것입니다. 이러한 이유로, 이 문제는 UPnProxy라 명명 되었습니다.

공격자들은 UPnProxy를 악용해 방화벽을 우회해 내부 IP 주소에 접근하거나, 라우터를 사용해 요청을 완전히 새로운 IP 주소나 도메인명으로 리디렉트 할 수 있게 됩니다.

<출처: https://www.akamai.com/us/en/multimedia/documents/white-paper/upnproxy-blackhat-proxies-

via-nat-injections-white-paper.pdf>

UpnProxy는 공격자가 일반적으로 인터넷 백엔드에는 노출시키지 않는 라우터의 로그인 패널에 접근할 수 있기 때문에 매우 심각한 결점이라고 볼 수 있습니다. UPnProxy는 [공개 IP]:[커스텀 포트]에 대한 요청을 내부의 제한 된 UP 주소에 위치한 라우터의 백엔드 패널로 리디렉트 할 것입니다.

이러한 라우터들은 약한 크리덴셜을 사용 중이었더라도 브루트포싱 공격에 취약하지 않았습니다.

인터넷상의 공격자가 관리자 패널에 접근하기가 훨씬 어렵고, 때로는 불가능하기까지 때문입니다.

UPnProxy 덕분에, 공격자들이 내부 네트워크상의 어떠한 기기의 백엔드 패널에도 브루트포싱 공격을 실행할 수 있게 되었습니다.

하나 이상의 APT, UPnProxy 악용해

게다가 UPnProxy는 트래픽을 다른 IP로 바운싱하는데 악용될 수 있기 때문에, 이 결점은 트래픽이 최종 목적지에 닿기 전 수십, 수백 개 IP를 거치는 아주 복잡한 프록시 네트워크를 생성하는데 사용될 수 있습니다.

이 기술은 스팸 캠페인, 피싱 페이지, 광고 클릭 사기, DDoS 공격의 발원지를 숨기기 위해 악용될 수 있습니다. 이 때문에 봇넷 운영자, 사이버 범죄자들, 사이버 간첩들이 사용하기에 매우 이상적이라 할 수 있습니다.

<출처: https://www.akamai.com/us/en/multimedia/documents/white-paper/upnproxy-blackhat-proxies-

via-nat-injections-white-paper.pdf>

4.8백만 대 이상의 라우터, 잠재적으로 취약해

보안전문가는 WAN 인터페이스를 통해 다양한 UPnP 서비스를 노출시키는 라우터들을 480만대 이상 발견했다고 발견했습니다. 

또한 이들 중 65,000대 이상에서 NAT인젝션이 되어 활성화 된 것을 발견했습니다. 이는 해당 라우터들이 이미 해킹 되었으며 기기의 사용자가 알지 못하는 사이 이미 트래픽을 리라우팅 시키고 있었다는 이야기입니다.

기기의 사용자가 라우터의 NAT 테이블을 확인할 수 있는게 아닌 이상, 라우터가 해킹 되었거나 취약한지 확인하는 것이 쉬운 일은 아닙니다.

이에 Akamai는 사용자들을 돕기 위해 WAN 인터페이스를 통해 UPnP 서비스들을 노출시켜 UPnProxy 공격에 취약할 것으로 의심 되는 73개사의 라우터 모델 400개 목록을 공개했습니다.

UPnP공격을 완화시키기 위해서는 모든 제조사의 막대한 노력이 필요할 것입니다. WAN 인터페이스를 통해 UPnP 서비스들을 노출시키는 것을 멈출 수 있도록 UPnP 구성을 바로 잡는 펌웨어 업데이트가 필요하다는 의미입니다. 

패치가 발행 되기를 기다리는 동안 이 공격을 피할 수 있는 유일한 방법은 리스트에 있는 라우터를 제외한 다른 라우터로 교체하는 것입니다.

Akamai는 취약하거나 이미 악용 되고 있는 라우터를 식별해낼 수 있는 Bash 스크립트도 제공했습니다. 

하지만 사용자들이 라우터의 SSH를 통해 터미널에 접속해 Bash script를 실행하고 결과를 확인하는 방법을 모른다면 사용할 수 없는 것이 단점입니다.

취약한 라우터 모델 전체, Bash 스크립트를 포함한 UPnProxy에 대한 자세한 정보는 이 Akamai의 보고서에서 확인할 수 있습니다.

참고 :

https://www.bleepingcomputer.com/news/security/over-65- 000-home- routers-are- proxying-bad- traffic-

for-botnets- apts/