다크 미라이 봇넷

Mirai 봇넷이 몇 년 전에 폐쇄되었음에도 불구하고 그 유산은 계속 남아 있습니다. 봇넷의 소스 코드가 공개된 후 많은 사이버 범죄자들이 이를 기반으로 자체 버전의 멀웨어를 생성했습니다. 아직 활성화된 Mirai 의 파생물 중 하나는 infosec 커뮤니티에서 Dark Mirai(일명 MANGA)로 추적하고 있습니다. 이 봇넷의 활동을 모니터링하는 Fortinet의 연구원에 따르면 운영자는 계속해서 새로운 취약점을 악용할 수 있도록 하고 있습니다.

Dark Mirai에 추가될 최신 제품 중 하나는 인기 있는 TP-Link 홈 라우터 제품군에 영향을 미칩니다. 보다 구체적으로, 영향을 받는 모델은 2017년에 출시된 TL-WR840N EU V5입니다. 특정 취약점 - CVE-2021-41653은 취약한 '호스트' 변수로 인해 인증된 사용자가 장치에서 명령을 실행할 수 있도록 합니다. TP-Link는 2021년 11월 12일 펌웨어 업데이트 릴리스와 관련된 문제를 해결했으므로 Dark Mirai 해커는 사용자가 장치를 업데이트하지 않고 취약한 상태로 남아 있는 것을 기대하고 있습니다.

적절한 장치를 발견하면 공격자는 CVE-2021-41653 취약점을 악용하여 'tshit.sh'라는 스크립트를 다운로드한 다음 실행합니다. 이 스크립트는 두 개의 요청을 통해 기본 페이로드를 가져오는 역할을 합니다. 공격자를 인증해야 하기 때문에 라우터의 기본 자격 증명을 계속 사용하는 사용자가 가장 취약한 사용자입니다.

배포되면 Dark Mirai는 감염된 라우터의 아키텍처를 식별한 다음 적절한 페이로드를 가져옵니다. 그런 다음 위협은 일반적으로 표적이 되는 여러 포트를 차단하여 다른 경쟁 봇넷의 잠재적인 침투로부터 장치를 격리합니다. 그러면 Dark Mirai는 C&C(명령 및 제어) 서버의 명령을 기다리며 휴면 상태를 유지합니다.