Akamai 2분기 보고서 : 오래된 공격방식의 귀환, DDoS 공격의 상업화

CDN과 Akamai가 <2017년 2분기 인터넷 보안현황보고서>를 발표하였습니다. 

Akamai는 전 세계 130개 국가에서 운영중인 233000대가 넘는 서버로 들어온 공격패킷 및 로그들을 분석하였습니다. 그 결과 1분기에 비해 DDoS 공격은 약 28% 상승하였다고 밝혔습니다. 

공격

네트워크, 데이터계층을 타겟으로 하는 공격은 27% 증가하였고, reflection 공격은 21% 증가하였습니다. 각 산업들의 평균 공격횟수는 28% 증가하였으며, 게임업계가 가장 공격을 많이 받는 산업군 이였습니다. Akamai가 탐지한 DDoS 공격들 중에서, 게임업계가 차지하는 비율이 81%나 되었습니다. 

2017년 2분기, 공격 목표들이 공격을 받는 횟수는 평균적으로 32번 증가하였으며, 그 중 모 게임 홈페이지는 558번의 공격을 받았습니다. 이는 즉 매일 평균 6번의 공격을 받은것과 같은 것입니다. 

2016년 4분기, 대규모의 DDoS 공격이 빈번하게 발생하였는데, 그 때와 비교하자면, 비교적 작은 규모의 DDoS 공격이 증가한 것으로 확인되었습니다. 또한 공격자들은 최신 공격방식이 아닌 Mirai 봇넷, Pbot 악성코드 등 비교적 오래된 공격방식들을 사용하였습니다. Pbot 악성코드는 약 400대의 좀비 PC로 이루어진 미니 봇넷만으로도 75Gbps크기의 공격이 가능합니다. 

Pbot은 web서버를 감염시는데, Mirai가 감염시킨 IoT 디바이스들이 발생시키는 트래픽과 비교하였을 때 Pbot에 감염된 좀비 Web서버가 발생시키는 트래픽의 크기가 더 크기 때문에 이러한 공격이 가능하게 되는 것입니다. 

Mirai에 관하여

Mirai의 유포 역시 DDoS 공격의 상승세를 가중시켰습니다. 2016년 가을, Akamai 역시 Mirai 악성코드의 공격을 받았으며, 그 후로 끊임없이 공격타겟이 되고 있습니다. 이렇게 지속적인 Mirai 악성코드의 공격을 받은 Akamai는 Mirai 악성코드에 대해 연구를 진행하였습니다. 

해당 이미지는 Akamai가 탐지한 Mirai 악성코드의 공격대상이 되는 네트워크들을 도식화 시켜놓은 것입니다. 해당 원들의 크기는 Mirai 악성코드가 해당 네트워크를 타겟으로 발송한 공격명령어의 숫자를 뜻하며, 그 중 오렌지 색에 검은색 테두리로 표시되어 있는 원이 바로 Akamai를 뜻합니다. 

해당 그림에서 알 수 있듯이, 일부 타겟들은 끊임없는 공격을 받고 있음을 확인할 수 있습니다. 중간에 가장 큰 원으로 표현된 타겟은 무려 10500번이 넘는 Mirai의 공격을 받았으며, Akamai는 약 1246번의 공격을 받았습니다. 

많은 사람들이 Mirai가 단일의 봇넷이라고 생각합니다. 하지만 Akamai가 분석한 결과, Mirai는 소규모의 bot과 C&C로 구성된 봇넷들의 집합이라고 밝혔습니다. 각기 다른 Mirai C&C 서버를 분석한 한 분석가는, Mirai 봇넷 중 각기 다른 그룹들이 타겟으로 하는 공격대상이 다르며, 그 중 일부 C&C는 대량의 각기 다른 타겟을 공격하기도 하고, 일부는 한개의 타겟을 공격한다고 밝혔습니다. 

현재까지 Mirai 악성코드에 대한 분석은 아직 진행중에 있으나, 지금까지의 조사결과로 보았을 때 Mirai가 DDoS 의 상업화를 촉진시키고 있는 것 같다고 밝혔습니다. 단일 C&C 공격은 “pay-for-play” 공격에 사용되는 것으로 추정되며, 짧은시간 내 특정 IP에 공격이 집중이 되며 잠시 휴식기를 가졌다가 또 다른 목표를 타겟으로 공격을 진행하는 특징을 갖고 있습니다. 

DNS 트래픽을 이용한 감염 네트워크 탐지

2008년 Conficker 이후, 악성코드들은 DGA를 이용하여 C&C 서버에 자신을 숨겼습니다. 이런 DGA들은 매일 수많은 임의의 IP주소를 생성해주며, 공격자들은 그 중 원하는 도메인을 선택하여 바로 등록한 후, 사용완료후에 삭제하는 식으로 추적을 피했습니다. 악성코드 자신도 어떤 IP주소가 정상적으로 연결되는 IP인지 모르기 때문에, 몇번의 확인을 통하여 정확한 주소를 찾습니다.

 

Akamai는 250만개가 넘는 서버의 네트워크 트래픽을 분석한 결과 그 중 140개가 악성코드에 감염된 것을 확인하였습니다. 악성코드에 감염된 네트워크의 악성코드 방문횟수는 감염되지 않은 네트워크의 악성코드 방문횟수보다 15배나 높았습니다. 그 이유는 악성코드는 DGA가 생성하는 임의의 IP주소로 방문하는데, 임의로 생성된 ip주소들은 대부분 등록이 되어있지 않기 떄문에 악성코드가 접속을 하려는 과정에서 많은 잡음이 발생하는 것입니다. 그렇기 때문에, DNS 모니터링을 통해 악성코드 감염 여부를 확인할 수 있습니다. 

참고 : 

https://www.akamai.com/uk/en/multimedia/documents/state-of-the-internet/q2-2017-state-of-the-internet-security-report.pdf

http://www.securityweek.com/ddos-threat-increases-while-mirai-becomes-pay-play