본문 바로가기
5. 방학 활동/보고서 분석

[2021/02/11] 1회차 - 기존 IoT 기기 악성코드 분석 기술

hynnx 2021. 3. 24. 01:04

[KISA 연구보고서] "임베디드 리눅스 기반 IoT 기기 악성코드 분석 기술 연구"

(2018. 12. 06)

제 1장 연구개요

  • 제 1절 연구 배경 및 동향

최근 IoT 시대에 맞추어 다양한 디지털 기기들의 보급화, 대중화가 이루어지고 있다. 다양한 종류의 IoT기기들은 다양한 사이버 범죄에 악용되고 있고, 공격 수법 또한 갈수록 지능적이고 복합적으로 변하고 있다. 기존의 IoT Malware 탐지에 대한 다양한 연구는 대부분 웹 로그 분석/ 비전문적인 독립 연구원들의 인사이트에 의한 것으로 비과학적이다. IoT Malware는 범위가 넓을 경우 다른 유형의 Malware도 포함되고, 좁을 경우 단 하나 또는 몇 가지의 IoT의 IoT Malware 변종을 설명할 수 밖에 없다. 

 

  • 제 2절 과제의 필요성

IoT 기기가 발전함에 따라 IoT 기기 대상의 다양한 종류의 Malware가 생겨났다.

보안업계에서 인공지능을 활용한 기술에 대한 요구가 커지고 있는데, 인공지능을 활용한 정보 보안 연구는 기존의 전통적인 방식에서 탐지할 수 없었던 것을 탐지할 수 있기 때문이다.

24시간 동작하는 IoT 기기는 공격에 매우 취약하다. 따라서 IoT 기기가 연결되어 있는 내부 환경에서 IoT 기기 하드웨어 정보를 이용한 보안 위협 대응기술이 요구된다.

 

제 2장 기존 IoT 기기 악성코드 분석 기술

  • 제 1절 IoT 기기 보안 기술 연구 동향 조사

IoT기기는 향후 사용이 기하급수적으로 증가할 것으로 예상된다.

하지만 IoT기기는 보안에취약하다. 바이러스나 Malware 방지 기능이 없어, 악의적인 코드를 전달하여 다른 장치들을 감염시키는 ‘봇’ 으로 사용 된다.

  1. IoT 기기 보안 문제

    1)     IoT 기기의 환경적 제약: 임베디드 리눅스로 구동되는 IoT 기기의 환경적 제약이 있는데, 다양한 libc 버전 제공, 작은 용량의 메모리, 제한된 저장장치 용량, 비 x86 아키텍처, ELF 바이너리 지원, 24시간 네트워크에 접속하여 구동, MQTT, COAP, XMPP 등 프로토콜 사용이 대표적이다.

  2. IoT 사이버 공격의 침입탐지 한계
    인터넷의 보안 프로토콜은 리소스가 제한되지 않는 표준 장치에서 작동되도록 설계되었다. 하지만 IoT 기기는 제한된 리소스 장치, 프로토콜 스택 및 표준과 같은 환경적 제약을 가지기 때문에 기존 보안 프로토콜로 보안될 수 없다.
    IoT기기 하드웨어 정보를 적용한 시스템이 필요하지만 기술의 발전에도 불구하고, 현재의 솔루션은 부적절 하다.

 

  • 제 2절 임베디드 리눅스 대상 Malware 특성 분석

IoT Malware는 널리 퍼져 있으며 DDoS 트래픽의 주요 출처이다.

몇 개의 IoT 기기 대상 Malware를 분석하고 IoT Malware의 수명주기의 각 단계와 그

단계 내에서의 행동과 같은 유사점을 찾을 수 있었다.

  1. IoT Malware를 이용한 봇넷의 구성요소 
    : 2개의 기본 구성 요소 + 4개의 추가 구성 요소로 구성된다.
    1) 명령에 대해 DDoS공격을 수행하는 봇 또는 에이전트 또는 최종 좀비 IoT장치
    2) 명령 및 제어 서버(C&C): 봇을 제어하는 데 사용
    3) 스캐너: 취약한 IoT장치를 스캔
    4) 리포트 서버: 결과를 수집하거나 리포트를 스캔하는 데에 사용
    5) 로더: 취약한 IoT 장치에 로그온하고 Malware를 다운로드 하도록 지시
    6) Malware 배포 서버: IoT 장치에서 악성코드 바이너리가 저장되는 위치

  2. 기기 검색(Scanning)
    : 잠재적을 취약한 호스트를 검색하는 것
    : 일반적으로 23, 2323번 포트 사용

  3. 취약한 기기 대상 공격(Attack vulnerable hosts)
    : 일반적으로 ‘텔넷 사전 공격’이 있다.
    : 모든 IoT Malware 변종의 공통점은 리눅스 및 busybox를 실행하는 임베디드 장치를 대상으로 한다는 것이다.

  4. Malware 감염(Infection)
    취약한 장치를 발견한 Malware의 감염 시도
    - echo over Telnet
    - TFTP
    - HTTP download(wget)
    - DHT/uTP7

  5. Malware를 이용한 공격(Abuse)
    DDoS 공격과 같은 일반적인 공격에서 사용되는데, 매우 강력한 대규모의 DDoS 공격을 수행 가능하다. 

 

'5. 방학 활동 > 보고서 분석' 카테고리의 다른 글

[2021.02.23] 6회차 - 공격 시나리오별 특성 추출에 따른 분류 및 결론  (0) 2021.03.24
[2021.02.20] 5회차 - 데이터 특성 선정 및 분류 실험  (0) 2021.03.24
[2021.02.18] 4회차 - IoT 기기 모니터링 도구 구현  (0) 2021.03.24
[2021/02/16] 3회차 - 임베디드 리눅스 busybox 분석  (0) 2021.03.24
[2021.02.11] 2회차 - 크립토재킹(CryptoJacking)  (1) 2021.03.24

'5. 방학 활동/보고서 분석' Related Articles

티스토리툴바