미라이 IoT DDoS 봇넷이 사용한 61개 비밀번호

홈페이지 취약점 분석 이야기	파일 지도 사진 깨알

>> 목록보이기
#취약한 비밀번호 #미라이봇넷 #Mirai Botnet #분산서비스거부공격 #대용량 네트워크 트래픽 #IoT보안 #A5-Security Misconfiguration

미라이봇넷(Mirai Botnet)에서 사용하는 61개 비번

미라이봇넷은 올해 9월 보안전문가 Biran Krebs의 누리집, 프랑스 호스팅업체 OVH 등을 대상으로 사상 최대의 DDoS 공격을 감행한 IoT DDoS 봇넷이다. 주로 사물인터넷 기기(카메라, DVR, 라우터, 온도계, 전구 등)를 장악하여 봇으로 사용한다고 한다.

브라이언 크렙스의 보안 블로그 'Krebs on Security'에 쏟아진 665Gbps 공격은 - 이 블로그에 DDoS 사업을 하는 두 명의 이스라엘 해커를 고발한 것에 대한 보복으로 - 당시까지의 최대 DDoS 공격의 두배에 달했다고 한다. 보안업체 아카마이는 공격이 시작된 9월 20일부터 사흘동안 이 공격을 막았지만 결국 비용문제로 Brian Krebs의 계정을 해지했다고 한다.

10월에 봇넷 제작자가 소스코드를 공개했는 데 scanner.c라는 파일에 62개의 계정/비밀번호 조합이 사용되었다고 한다. 봇넷 구성에는 6대의 서버를 사용했고 계정/암호가 취약한 40만대의 기기를 봇으로 만들었다고 한다. 1차 브라이언 크렙스의 누리집 공격 이후 ISP의 방어로 OVH 공격에서는 30만대로 줄었다고 한다. 다음은 Mirai IoT Botnet이 IoT 기기 탈취에 사용한 관리자 계정/비밀번호 목록이다.

root     xc3511
root     vizxv
root     admin
admin    admin
root     888888
root     xmhdipc
root     default
root     juantech
root     123456
root     54321
support  support
root     (none)
admin    password
root     root
root     12345
user     user
admin    (none)
root     pass
admin    admin1234
root     1111
admin    smcadmin
admin    1111
root     666666
root     password
root     1234
root     klv123
Administrator admin
service  service
supervisor supervisor
guest    guest
guest    12345
guest    12345
admin1   password
administrator 1234
666666   666666
888888   888888
ubnt     ubnt
root     klv1234
root     Zte521
root     hi3518
root     jvbzd
root     anko
root     zlxx.
root     7ujMko0vizxv
root     7ujMko0admin
root     system
root     ikwb
root     dreambox
root     user
root     realtek
root     00000000
admin    1111111
admin    1234
admin    12345
admin    54321
admin    123456
admin    7ujMko0admin
admin    1234
admin    pass
admin    meinsm
tech     tech
mother   f**er [censored]

admin/1234가 2번 포함되어 있어서 실제로는 61개의 ID/PW 조합을 사용한다. 이 비밀번호 목록은 주로 취약한 비번이거나 출시될 때의 초기 암호이며 공장초기비번(default password)의 경우에는 사용자들이 잘 변경하지 않은 다는 점을 악용하여 장악한 것이라고 한다.

참고자료

미라이 IoT 봇넷에서 활용한 61가지 비밀번호, ITWorld Korea, 2016.10.04
Breaking Down Mirai: An IoT DDoS Botnet Analysis, Imperva Incapsula, 2016.10.26
Here are the 61 passwords that powered the Mirai IoT botnet, CSO Online, 2016.10.03

취약점 분석 현장에서 IoT 기기가 발견되면 THC Hydra와 같은 도구를 이용하여 기기의 관리자 비밀번호 취약성을 점검하여 보고하는 것이 좋겠다.

[처음 작성한 날: 2016.12.05] [마지막으로 고친 날: 2016.12.05]

< 이전 글 : nikto와 owasp-zap 연동 (2016.12.06)

> 다음 글 : 오늘의 웹서버 공격 로그, SOAP 원격코드실행, D-Link 명령어 삽입, muieblackcat (2016.12.05)

이 저작물은 크리에이티브 커먼즈 저작자표시 4.0 국제 라이선스에 따라 이용할 수 있습니다.
잘못된 내용, 오탈자 및 기타 문의사항은 j1n5uk{at}daum.net으로 연락주시기 바랍니다.
문서의 시작으로 컴퓨터 깨알지식 웹핵 누리집 대문