상세 컨텐츠
본문
New Mirai botnet hides C2 server in the Tor network to prevent takedowns
트렌드마이크로의 연구원들이 C&C 서버를 Tor 네트워크에 숨기는 새로운 미라이(Mirai) 봇넷을 발견했습니다.
이번에 발견된 변종은 봇넷 운영자의 익명성을 보호하고 법 집행 기관의 봇넷 붕괴 작업을 어렵게 하기 위한 조치로 보입니다.
연구원은 발견된 샘플이 익명성 보장을 위해 C&C 서버를 Tor 네트워크에 숨기고, 봇넷 붕괴 과정을 더욱 어렵게 하기 위해 커맨드 센터를 숨겼다고 전했습니다.
미라이 악성코드는 2016년 전문가인 MalwareMustDie가 IoT 기기들을 노린 대규모 공격에서 처음으로 발견했습니다.
미라이의 코드가 온라인에 유출되자 수많은 변종들이 생겨났는데, 2018년에만 atori, Masuta, Wicked Mirai, JenX, Omni, OMG 변종이 나타났습니다.
이번에 발견된 새로운 변종은 TCP 포트 9527과 34567을 노리고 있어, IP 카메라 및 DVR을 노리고 있음을 짐작할 수 있습니다.
또한, 다른 포스트를 감염시키는데 사용될 수 있는 디폴트 크리덴셜이 포함되어 있는 것도 발견되었습니다.
이 샘플에서 구현된 통신 프로토콜은 socks5 연결을 사용한다는 것이 특징입니다.
또한 연구원들은 C&C 서버에서 보낸 특정 IP 주소를 노리는 UDP Flood 공격을 위한 DDoS 명령을 가리키는 바이트 시퀀스(byte sequence)도 발견했습니다.
<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/keeping-a-hidden-identity-mirai-ccs-in-tor-network/>
전문가들은 이번에 발견된 미라이 봇넷 샘플이 2017년 발견된 BrickerBot 봇넷을 연상시킨다고 전했습니다.
이전에도 C&C를 Tor에 숨긴 다른 악성코드들은 있었지만, 이번에 발견된 악성코드는 IoT 악성코드 패밀리 진화의 예시로 볼 수 있다고 판단했습니다.
이 악성코드는 Tor를 사용할 수 있기 때문에 서버를 익명으로 유지할 수 있어 악성코드의 제작자와 C&C 소유주를 식별할 수 없게 만듭니다.
악성코드가 발견되더라도 서버는 계속 운영되며, 네트워크 트래픽은 합법적인 것으로 위장하여 암호화된 채로 남아있을 수 있습니다.
또한 Tor를 사용하는 덕분에 블랙리스트에 포함되지 않을 수도 있습니다.
보안 전문가는 또 다른 아키텍처를 타깃으로 설계된 샘플들이 발견된 것으로 공격자들은 해당 공격의 규모를 키우려는 것으로 보인다고 전했습니다.
현재 알약에서는 해당 악성코드에 대해 'Backdoor.Linux.Mirai' 탐지 명으로 진단하고 있습니다.
※ 관련글 바로가기
▶ 새로운 미라이(Mirai) 변종, 기업 장비들 노려 (2019.03.19)
▶ 새로운 Hakai 봇넷, D-Link, huawei 및 realtek 라우터를 타겟으로 해 (2018.09.11)
▶ Mirai IoT 악성코드, Aboriginal 리눅스 사용해 다수 플랫폼 노려 (2018.08.27)
▶ 최소 3개의 취약점을 악용하는 Wicked Mirai 봇넷 발견! (2018.05.23)
출처:
https://securityaffairs.co/wordpress/89237/malware/mirai-botnet-tor-c2.html
'국내외 보안동향' 카테고리의 다른 글
| DealPly 애드웨어, 백신 회피 위해 Smartscreen 악용해 (0) | 2019.08.06 |
|---|---|
| 다크 웹에서 한국의 지불 카드 정보 백만 건 이상 판매돼 (0) | 2019.08.05 |
| Western Digital SSD 유틸리티 버그, 사용자들 위험에 빠트려 (0) | 2019.08.01 |
| SMS 스팸을 이용해 전파되는 새로운 안드로이드 랜섬웨어 발견 (0) | 2019.07.30 |
| 해커들, 웹사이트 해킹을 위해 스테가노그라피 기술 사용해 (0) | 2019.07.29 |
댓글 영역