□ 개요
 o IoT 기기를 대상으로 한 IoT 리퍼(Reaper), IoT 루프(roop) 봇넷이 국외에서 발견
 o IoT 리퍼,  루프 감염 시 DDoS 공격에 악용될 수 있어 사용자 주의가 필요함
 
□ 설명
 o IoT 리퍼, 루프 악성코드는 관리자 인증 우회 및 원격 코드 실행 취약점 등을 악용하여 IoT 단말 (IP 카메라, 라우터 등)을 감염시킴
 o 악성코드에 감염된 IoT기기는 명령지 서버에 감염 단말기 정보(Mac주소, 제품정보, 버전 등)를 전송하고 추가 악성코드를 다운로드
 o 이후, 명령지 서버에 따라 DDoS 공격을 수행 및 취약한 단말 스캔 결과 전송
    ※ 100여 개(중국 94개, 미국 5개, 러시아 1개)의 오픈 DNS IP가 포함
 
□ 영향을 받는 IoT 기기
 o 아래 참고사이트를 확인하여 제조사별 상세 정보 확인
 o D-LINK
    - D-LINK 850L 원격코드실행 취약점 [1]
    - DIR-600/300 원격코드실행 취약점 [2]
 o Goahead
    - 원격코드실행 취약점 [3]
 o JAWS
    - 웹 인증 우회 취약점 [4]
 o Netgear
    - ReadyNAS 원격코드실행 취약점 [5]
    - DGN 원격코드실행 취약점 [6]
 o Vacron
    - 원격코드실행 취약점 [7]
 o Linksys
    - 원격코드실행 취약점 [8]
 o AVTECH
    - 인증정보노출 및 원격코드실행 취약점[9]
 o TP-Link
    - 디렉터리 인증 우회 취약점[10]
 o MikroTik
    - 인증우회 및 서비스 거부 취약점[11]
 o Synology
    - 원격코드실행 취약점[12]
 
□ 해결 방안
 o 해당 제품 사용자는 제조사 홈페이지를 확인하여 최신 펌웨어 업데이트 확인 및 설치
 o 가능한 경우 IoT 기기를 인터넷에 직접 연결하지 않고 사용 권고
 o IoT 기기의 초기 관리자 패스워드를 안전하게 변경하여 사용
 o 영향 받는 IoT 기기의 맥주소는 http://macaddress.webwat.ch/ 사이트를 통해 검색하여 탐지 및 대응

□ 기타 문의사항
 o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
 
[참고사이트]
 [1] https://blogs.securiteam.com/index.php/archives/3364
 [2] http://www.s3cur1ty.de/m1adv2013-003
 [3] https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html
 [4] https://www.pentestpartners.com/blog/pwning-cctv-cameras/
 [5] https://blogs.securiteam.com/index.php/archives/3409
 [6] http://seclists.org/bugtraq/2013/Jun/8
 [7] https://blogs.securiteam.com/index.php/archives/3445
 [8] http://www.s3cur1ty.de/m1adv2013-004
 [9] https://github.com/Trietptm-on-Security/AVTECH
 [10] http://www.s3cur1ty.de/m1adv2013-011
 [11] http://seclists.org/fulldisclosure/2015/Mar/49
 [12] http://www.kb.cert.org/vuls/id/615910