패치되지 않은 라우터가 거대한 새 봇넷의 호스트 역할

다음 인터넷 충돌 봇넷이 서서히 깨어나기 시작했습니다. 12월 말부터 Satori로 알려진 봇넷이 새로운 엔드포인트를 감염시키고 일반적으로 재난이 발생할 조짐을 보여주고 있습니다. 다음 대규모 DDoS 공격에 대비하려면 어떻게 해야 하나요?

휴면 봇넷이 다시 깨어나다

우리가 Satori 봇넷을 마지막으로 본 것은 아직 Mirai라고 불렸던 2016년이었습니다. 정보보안에서 2년이라는 시간이 길다는 것은 알지만 미라이 봇넷 사건은 잊기 어렵다. 라우터, 보안 카메라 및 스마트 온도 조절기와 같은 수백만 개의 감염된 IoT 장치를 사용하여 Mirai 봇넷은 거의 전체 미국 동부 해안의 광섬유 백본을 손상시킬 수 있었습니다. 이 공격으로 몇 시간 동안 인터넷이 중단되었습니다.

사토리는 미라이는 아니지만 사촌입니다. 활성화되기 전에 별도의 구성 요소를 다운로드해야 했던 Mirai와 달리 Satori는 웜처럼 퍼집니다. 감염된 호스트는 라우터 및 기타 IoT 장치의 열린 포트를 스캔하여 특정 취약점을 찾습니다. 현재까지 세 종류의 취약한 장치가 식별되었습니다.

말할 필요도 없이 현재 이러한 장치를 실행하는 사람은 필요한 경우 즉시 격리, 패치 또는 교체하는 조치를 취해야 합니다.

라우터를 감염시키는 것 외에도 Satori 네트워크 운영자는 수익성 있는 부업을 찾았습니다. Satori 악성코드는 최근 암호화폐 채굴 소프트웨어를 표적으로 삼아 감염시켰습니다. 클레이모어(Claymore)로 알려진 소프트웨어 프로그램의 취약점을 악용하여 멀웨어는 암호 화폐 지갑 주소를 멀웨어 운영자 소유의 주소로 덮어쓸 수 있었습니다. 따라서 연결된 시스템에서 채굴되는 모든 통화는 공격자에게 전용됩니다. Satori 봇넷은 이미 이 방법을 사용하여 Ethereum으로 알려진 암호화폐의 미화 2,000달러 이상을 모금했습니다.

다목적 봇넷?

이 특정 봇넷을 사용하여 암호화폐를 채굴하는 것은 운영자가 단순한 DDoS 공격보다 더 많은 것을 염두에 두고 있음을 시사합니다. 이전 봇넷 운영자는 갈취의 목적으로 네트워크를 기꺼이 사용했지만 2017년 말과 2018년 초에 발생한 다른 공격은 이 비즈니스 모델이 변경되기 시작할 수 있음을 시사합니다.

해커는 다양한 암호 화폐를 훔치거나 기생적으로 채굴하기 위한 여러 계획을 시작했습니다. 여러 그룹이 악성 애드웨어를 사용하여 웹사이트를 감염시키고 방문자의 CPU를 하이재킹하여 비트코인을 채굴하기 시작했습니다. 또 다른 그룹은 방어되지 않는 Kubernetes 콘솔을 하이재킹하여 Tesla Motors의 퍼블릭 클라우드를 감염시킬 수 있었습니다.

단일 라우터의 개별 처리 능력은 미미하지만 수만 개의 봇 네트워크는 총체적으로 많은 양의 암호화폐를 생성할 수 있습니다. 이러한 공격은 비교적 무해할 수 있지만(결국 데이터를 훔치거나 암호화하는 것은 포함하지 않음) 대규모 성가신 가능성은 부인할 수 없습니다.

크립토재킹 및 DDoS 공격을 감시하는 방법

공격자가 IoT 장치 중 하나를 하이재킹했다고 의심되거나 누군가 DDoS 공격을 목표로 한다고 생각되면 즉시 알고 싶을 것입니다. 이러한 유형의 정교한 공격은 계속 증가하고 있으며 네트워크 및 애플리케이션 인프라에 사각 지대를 두는 것은 더 이상 허용되지 않습니다. AppNeta는 네트워크에 대한 창을 제공하여 도움을 줄 수 있습니다. 네트워크 및 애플리케이션 속도 저하가 발생하는 위치를 확인하고 무슨 일이 일어나고 있는지 신속하게 결론을 내릴 수 있습니다.

DDoS 공격과 크립토재킹은 모두 눈에 띄는 네트워크 및 애플리케이션 속도 저하로 이어져 생산성과 고객 대응 면에서 연쇄적인 영향을 미칩니다. 이러한 문제가 발생하기 전에 완화하려면 지금 AppNeta에 연락하여 무료 데모를 받으십시오.