상세 컨텐츠

본문 제목

2016 봇넷 연구 보고서

악성코드 분석 리포트

by 알약(Alyac) 2017. 1. 23. 10:02

본문

2016 봇넷 연구 보고서

 


2015년 7월, 많은 공격자들이 LizardStresser 툴을 통해 Lizard Squad 해커조직이 만든 봇넷을 활용한 DDoS 공격을 거행했습니다. 그리고 2016년에 들어, 8월에는 Twitter를 통해 제어당하는 안드로이드 기반의 봇넷이 발견되었습니다.


이후 9월 말에는 감염에 성공한 사물인터넷으로 봇넷을 만들어 DDoS 공격을 수행할 수 있는 Mirai 악성코드의 소스코드가 공개되었습니다. 10월에는 100,000대의 좀비 PC로 이루어진 거대한 봇넷이 DNS 서비스업체인 Dyn을 공격하여 Airbnb, Etsy, Pinterest, Amazon, PayPal, Twitter 등 유명 사이트들의 서비스가 중단되는 상황이 발생했습니다.

 


봇넷이란 무엇인가?


봇넷은 좀비 디바이스로 구성된 네트워크입니다. 특정한 좀비 네트워크의 통제를 받는 동일한 혹은 다른 종류의 악성코드에 감염된 PC들로 구성된 네트워크를 의미합니다. 


이러한 좀비 디바이스들은 C&C서버와 직접 통신이 가능하며, 좀비 디바이스들간에도 서로 통신할 수 있습니다. 또한 해커의 명령을 하달받아 실행시킬 수도 있어 치명적입니다. 합법적인 분산식 네트워크를 구성하기 위해 봇넷 기술을 활용하는 경우가 있지만, 일반적으로 ‘봇넷’이라고 하면 악의적인 의도를 가진 불법적인 네트워크를 뜻합니다.

 


봇넷 통신방법


봇넷의 통신방법은 크게 2가지 방법으로 나눌 수 있습니다.


첫번째는 직접 명령과 통제를 받는 봇넷입니다. 이는 C&C 방식을 사용하며, 좀비 디바이스들이 직접 C&C서버 혹은 분산식 서버에 연결되어 좀비 디바이스의 상태를 보고합니다. 이 방식은 명령을 하달하고 네트워크를 제어하는 것이 비교적 쉽습니다. 그러나 C&C서버에 문제가 발생하면 모든 봇넷이 중단될 가능성이 있습니다.

 

두번째는 P2P 기반 봇넷입니다. P2P 기반 봇넷은 분산식 좀비 디바이스를 이용하여 봇넷을 보호하고 네트워크가 끊기는 상황을 방지합니다. P2P 봇넷은 C&C서버가 존재할 수도 있고, 존재하지 않을 수도 있습니다. 또한 특정한 혹은 랜덤한 구조를 만들 수 있어, 봇넷과 그 사용이 모호해질 수 있습니다. P2P 봇넷은 알아채기 어렵고, 컨트롤 역할을 하는 좀비 디바이스가 명령을 하달하기 어려운 특징이 있습니다. 따라서 P2P 봇넷을 만드는 것은 비교적 복잡합니다.

 

 

봇넷의 구성


봇넷은 악성코드에 감염된 디바이스, 인터넷을 통해 상호 연결된 네트워크로 구성되어 있으며, 일반적으로 범죄행위에 사용됩니다. 이는 일반적으로 스팸메일이나 악성코드를 유포하는데 사용되거나, DDoS 공격에 사용됩니다. 봇넷은 최대 백만대의 좀비 디바이스를 포함할 수 있고, 매일 최대 600억개의 스팸메일을 발송할 수 있습니다. “botnet”은 “roBOT”과 “NETwork”가 결합된 단어입니다.

 

※ 봇넷 컨트롤러 : 봇넷을 컨트롤하는 공격자는 원격에서 C&C서버 혹은 봇넷 중 특정한 좀비 디바이스에 명령을 하달합니다. 이떄 공격자는 법적 규제를 피하기 위해 자신의 신분을 철저히 숨깁니다.

 

※ C&C 서버 : 공격자의 명령과 컨트롤을 맡고 있는 서버입니다. 메인 디바이스로 좀비 디바이스에 명령을 하달하고, 좀비 디바이스로부터 정보를 수신하는 역할을 합니다. 


C&C는 일반적으로 여러 대의 서버와 각종 기술적인 구성 요소들로 이루어져 있습니다. 대부분의 봇넷은 “클라이언트-서버”의 구조로 이루어져 있습니다. 일부 봇넷의 경우 P2P 구조를 띄고 있으며, 이런 구조는 C&C 기능이 봇넷 중에 포함되어 있습니다.

 

※ P2P 봇넷 : P2P 봇넷은 분산식 좀비 디바이스 네트워크를 사용하며, 주로 봇넷을 보호하고 네트워크가 끊기는 것을 방지하기 위해 사용합니다. P2P 네트워크는 C&C 서버를 포함할 수도, 포함하지 않을 수도 있으며, 특정한 혹은 랜덤한 구조로 설계할 수도 있습니다.


※ 좀비 디바이스 : 좀비 디바이스는 봇넷 중 인터넷을 통해 연결되어 있는 각각의 디바이스를 지칭합니다. 좀비 디바이스는 주로 PC를 지칭했으나, 최근에는 스마트폰, 태블릿 혹은 IoT 등 역시 좀비 디바이스의 개념으로 확대되고 있습니다.


 

C&C 봇넷은 어떻게 악성코드를 유포할까?


1) 봇넷을 컨트롤 할 수 있는 공격자는 좀비 디바이스로 만들 수 있는 기능을 포함한 악성코드를 유포하여 사용자 PC를 감염시켜 봇넷을 만들어냅니다. 혹은 다른 공격자가 이미 보유하고 있는 봇넷을 대여하기도 합니다.


2) 새로 획득한 봇넷 혹은 좀비 디바이스를 봇넷의 C&C 서버에 알려줍니다.


3) C&C 서버는 좀비 디바이스에 스팸메일 탬플릿과 수신자 주소가 포함된 정보를 전달하며, 좀비 디바이스들로 하여금 악성코드를 유포하도록 지시합니다.


4) 좀비 디바이스가 명령을 받으면, 수많은 사용자들에게 악성코드가 포함된 스팸메일을 발송합니다.

 


끊임없이 증가하고 있는 봇넷의 위협 : IoT 봇넷



최근 몇 년 동안 보안 전문가들은 IoT로부터의 사이버 공격을 예측하고 있었습니다. 그리고 2016년, 실제로 1백만대의 IoT 디바이스들로 구성된 봇넷이 발견되었습니다. 


Mirai와 Bashlight 오픈소스 악성코드들이 IoT 봇넷을 만드는데 사용된 것입니다. 이 두 악성코드들은 모두 BusyBox가 내장된 디바이스들을 타겟으로 공격하였고, telnet의 로그인 계정에 대한 해킹을 시도했습니다. 특히, Mirai 악성코드는 좀비 디바이스간의 통신뿐만 아니라, 좀비 디바이스와 C&C 서버간 통신을 모두 암호화하여 보안 연구원들의 분석을 어렵게 만들었습니다. 보안 연구원들은 Mirai 악성코드가 이미 Bashlight에 감염된 디바이스들을 관리하고 있었으며, 좀비 디바이스들을 패치하여 또 다른 악성코드에 감염되지 않도록 했다고 밝혔습니다.

 

Mirai 악성코드의 파괴력은 2016년 9월 처음 발견되었습니다. 당시 vDoS 해커조직이 Brian Krebs홈페이지(krebsonsecurity.com)을 향해 DDoS 공격을 거행했습니다. Krebs는 해당 공격의 최대 트래픽은 초당 약 664G였으며, 이는 단일 네트워크 공격으로는 가장 큰 규모의 공격이였다고 밝혔습니다.


그리고 2016년 10월, IoT 봇넷은 DNS 서비스 업체인 Dyn을 공격했습니다. 이로 인해 여러 유명 서비스들이 중단되는 사태가 발생하였습니다. 온라인 범죄가 점점 늘어남에 따라, IoT 봇넷도 다음과 같은 이유로 위험요소로 대두되고 있습니다.


1) 각종 사물인터넷이 등장하면서, IoT 봇넷의 규모의 규모가 무한대로 확장될 가능성이 존재합니다.

2) 사물인터넷의 보안은 상대적으로 취약합니다.

3) Mirai 악성코드의 소스코드가 2016년 10월 공개됨에 따라, 더 많은 공격자가 해당 악성코드를 이용할 수 있게 되었습니다.


봇넷의 수익화 역시 봇넷 발전을 가속화하고 있습니다. 관련 조사에 따르면, 약 10만에서 40만대 규모의 봇넷을 소유했을 경우, 공격 한 건당 3,000~7,500달러의 수익을 올릴 수 있는것으로 확인되었습니다.

 


봇넷으로 무엇을 하는가?


※ 악성코드 유포

봇넷을 만들고, 확장하고, 유지하기 위해서는 끊임없이 새로운 PC에 악성코드를 유포해야 합니다. 공격자는 주로 스팸메일 내 첨부파일이나 링크 또는 웹페이지 내 악성링크를 통해 악성코드를 유포합니다. 또한 태블릿이나 모바일 악성코드를 통하여 유포하기도 합니다. 하지만 봇넷에서 유포하는 악성코드들이 모두 봇넷 악성코드는 아니며, 랜섬웨어나 뱅킹 악성코드도 존재합니다.

 

※ DDoS 공격

범죄 조직들은 봇넷을 이용해 대량의 패킷을 발송하여 서비스를 마비시킵니다. 관련하여 2011년도에 가장 활발한 공격이 이루어졌습니다. 봇넷은 2011년 1분기에 매일 1,500억통이 넘는 스팸메일을 발송했고, 2016년 3분기에는 매일 평균 568억통의 스팸메일을 발송한 것으로 확인되었습니다.

 

※ 모니터링

좀비 디바이스들은 로컬에 존재하는 특정 문서나 데이터들, 예를들어 사용자 계정정보와 같은 정보들에 대해 “스니핑”을 시도할 수 있습니다. 만약 한 대의 PC가 서로 다른 종류의 봇넷 악성코드에 감염되었다면, 이 PC에서 다른 봇넷의 데이터를 스니핑 후 수집하고, 다른 봇넷으로부터 데이터를 탈취할 수도 있습니다.

 

※ 키로깅

공격자는 키로깅 기능을 통해 좀비 디바이스의 각종 정보를 키로깅할 수 있습니다. 일반적으로 특정 키워드, 예를들면 “bankofamerica.com” 혹은 “paypal.com”과 같은 키워드가 인식되면, 관련 정보를 키로깅합니다. 만약 이런 키로깅 프로그램이 수천, 수만대의 좀비 디바이스에 설치되어 있을 경우 범죄조직들은 매우 빠르게 대량의 개인정보들을 수집할 수 있을 것입니다.

 

※ 클릭재킹

봇넷 악성코드에 감염된 PC를 이용하여, 범죄 집단이 운영하는 사이트의 광고를 클릭하게 할 수 있습니다. 그들은 이러한 방식으로 불법적인 수익을 얻고 있습니다.

 

※ 여론 조작

이번 미국 대선에서는 봇넷이 각종 이익집단에 의해 악용되어 여론을 조작하는 사태가 야기되었습니다. 봇넷을 구성하는 좀비 디바이스들은 모두 각기 다른 IP를 갖고 있습니다. 따라서 투표나 설문조사와 같이 한 사람이 한 표만 행사할 수 있는 부분들을 조작할 수 있습니다.

 

※ 암표를 위한 봇넷

이러한 유형의 봇넷은 인터넷에서 약 750달러에 거래되고 있습니다. 범죄자들은 암표를 위한 봇넷을 이용해 각기 다른 목적으로 각기 다른 시기에 운영을 진행합니다. 이를 통해 대량으로 표를 구매하고, 구매한 표를 더 비싼 값에 되파는 형식으로 이익을 남깁니다.



봇넷 타임라인


1988년 : Robert Morris.JR이 최초로 웜 개발에 성공했습니다. 웜은 자가복제를 할 수 있으며, 감염 PC와 연결된 네트워크를 타고 전파됩니다. 또한 웜에 감염된 하나의 네트워크를 구성하고 통제합니다.

 

1999년 : Sub7과 Preetty Park는 IRC 통신을 통해 감염된 PC로 명령을 하달받는 최초의 악성코드입니다.

 

2004년 : Phatbot는 Agobot의 변종으로, IRC 대신 P2P를 사용한 최초의 봇넷입니다.

 

2006년 : Zeus(Zbot)악성코드가 처음 출현했습니다. 공격자들은 이를 악용해 금융정보를 탈취하고, 감염된 PC들을 좀비 PC로 만들었습니다.

 

2008년 : Grum는 처음 출현한 후 4년 동안 급속도로 성장했습니다. 이는 매일 399억통의 스팸메일을 발송했습니다. 같은 해에 Strom 봇넷이 출현했으나, 여러 공격과 좀비 PC 제거로 인해 결국 강제로 소멸되었습니다.

 

2010년 : Zeus의 코드가 SpyEye 악성코드로 포함되어 범죄 조직원들에게 비싼 값에 판매되었습니다. 동시에 Waledac 봇넷은 MS의 적극적인 대응으로 결국 사라졌습니다.

 

2011년 : Gameover Zeus 봇넷이 P2P 프로토콜과 C&C 서버를 사용하여 통신하기 시작하였습니다. 그 밖에, 2011년 3월 Tustock 봇넷이 소멸한 후, 스팸메일의 수량이 30% 감소하였습니다.

 

2012년 : 러시아, 우크라이나, 파나마 및 네덜란드의 공조 결과, Grum 봇넷이 사라졌습니다.

 

2013년 : 최초 안드로이드 봇넷인 “MisoSMS”가 발견되었습니다. 또한 FBI와 민간 기업의 협력으로 많은 Citadel 봇넷이 사라졌습니다.

 

2014년 : 미국의 사법부와 다양한 국가의 사법기관이 Gameover Zeus 봇넷에 대응하기 위해 공조했습니다.

 

2016년 : 최초로 사물인터넷을 이용한 봇넷이 등장했습니다.  

 

2017년 및 미래 동향 예상 : 앞으로는 사물인터넷 봇넷의 규모가 크고 복잡해질 것으로 예상됩니다. 특히 봇넷의 기술력과 능력도 훨씬 고도화되어 이에 대응하는 것이 더욱 어려워질 것으로 보입니다.






 

참고 :

http://pages.cyren.com/

관련글 더보기

댓글 영역