http://www.fitsec.com/blog/index.php/2012/02/19/new-piece-of-malicious-code-infecting-routers-and-iptvs/

http://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2014-120115-3009-99

http://www.exploit-db.com/wp-content/themes/exploit/docs/26472.pdf

http://www.theregister.co.uk/2014/09/09/linux_modem_bot/

http://protectyournet.blogspot.kr/2013_08_01_archive.html


http://vierko.org/tech/lightaidra-0x2012/


Lightaidra는 2012년부터 시작됐나 보다. IRC 통신을 토대로 취약한 장비들을 스캔하고, 직접 IRC 명령을 받아 공격 수행도 한다. 그 대상 Platform이 다양 하기 때문에 (mips, mipse, arm,ppc, x86/x86-64, superh) 다양한 리눅스 기반 디바이스들이 타겟이 될 수 잇다. AP, Model, VOIP Device, IPTV, IP Camera, 스마트 폰 등이 그 대상이다. 


위 링크에서는 주로 Linux 장비 중 Telnet + 기본 패스워드 / 패스워드 없는 장비를 대상으로 한다고 한다. Telnet 이용을 하지만, D-Link, Netgear의 오래된 firmware를 대상으로는 /cgi-bin/firmwarecfg의 버그를 이용하여 장비의 계정을 탈취하기도 한다. (http://yae.prv.pl/adam-cou14/access-d-link-router.html)


현재까지 확인된 악성 코드에도 취약 firmwarecfg 이용하여 HTTP Request 관련 로직이 보이는 것으로 봐서는 아직까지도 이용되고 있는 듯 하며, 그러나 주 공격 루틴은 대상 호스트의 Telnet 취약 계정을 이용할 것으로 예상된다.




으흠..

+ Recent posts