포스팅 내용

국내외 보안동향

미라이 변종, IoT DDoS 공격으로 금융 분야 노려

MIRAI VARIANT TARGETS FINANCIAL SECTOR WITH IOT DDOS ATTACKS


미라이 봇넷의 변종이 금융 분야 기업체를 타겟으로 한 DDoS 캠페인에 사용 된 것으로 나타났습니다.


이 공격은 최소 13,000개의 하이잭 된 IoT 기기들을 활용해 최대 30Gbps의 트래픽을 발생 시켰으며, 이는 620Gbps를 기록한 오리지널 미라이 공격보다는 덜 강력합니다.


연구원들이 공개한 바에 따르면, 미라이 봇넷과 악성코드 변종은 지난 2017년 10월 처음으로 발견 된 IoTroop 봇넷(또는 Reaper)과 연관시킬 수 있는 특성들을 가지고 있는 것으로 나타났습니다.


연구원들이 발견한 가장 최근 공격은 1월 27~28일 사이 일어났습니다. 이들은 3개의 공격을 제보했습니다. 


첫 번째 공격은 DMS 증폭 기술을 활용했으며 트래픽 양은 최대 30Gbps를 기록했습니다. 하지만 후속 공격들의 트래픽 양은 확인할 수 없었습니다.


IoTroop은 미라이의 코드 일부를 공유합니다. 이 악성코드는 미라이와 유사하게 보안이 허술한 네트워크 연결 된 기기들을 노립니다. 또한 연구원들은 이 미라이의 최신 변종이 오리지널 미라이와 IoTroop 악성코드와는 차이가 있다고 말했습니다.


아직 명명 되지 않은 이 최신 Mirai의 변종이 더욱 강력한 이유는, 악성코드가 즉시 업데이트 될 수 있는 IoTroop의 코드를 사용한다는 것입니다.


연구원들은 “IoTroop은 유연한 Lua 엔진과 스크립트를 사용해 빌드 되었으므로, 정적으로 프로그램 된 공격들과는 다르게 쉽고 빠르게 업데이트가 가능해 대규모 봇넷이 새롭고 더 많은 악성 공격을 실행할 수 있게 됩니다.”고 밝혔습니다.


또한 연구원들은 공격 대상인 금융 기관들은 러시아, 브라질, 우크라이나에 위치했으며, 이 지역에 취약한 IoT 기기들이 집중되어 있다고 말했습니다.


2016년 10월 미라이 소스코드가 공개 된 이후, 많은 악성코드 변종들이 생겨났습니다. Linux 기반의 봇넷은 취약한 텔넷 크리덴셜을 노렸으며, IRC를 통해 해킹 된 기기와 통신했습니다. 2016년 11월에는, 약 100만개의 Deutsche Telekom DSL 라우터를 중단 시킨 DDoS 공격의 주범으로 미라이 변종이 지목되었습니다. 


1월에는 Satori(Mirai Okiru)라는 변종이 발견 되었습니다.

 




참고 : 

https://threatpost.com/mirai-variant-targets-financial-sector-with-iot-ddos-attacks/131056/

https://www.recordedfuture.com/mirai-botnet-iot/

https://go.recordedfuture.com/hubfs/reports/cta-2018-0405.pdf

티스토리 방명록 작성
name password homepage