포스팅 내용

국내외 보안동향

C2 서버를 Tor 네트워크에 숨기는 새로운 미라이 봇넷 발견

New Mirai botnet hides C2 server in the Tor network to prevent takedowns


트렌드마이크로의 연구원들이 C&C 서버를 Tor 네트워크에 숨기는 새로운 미라이(Mirai) 봇넷을 발견했습니다. 


이번에 발견된 변종은 봇넷 운영자의 익명성을 보호하고 법 집행 기관의 봇넷 붕괴 작업을 어렵게 하기 위한 조치로 보입니다.


연구원은 발견된 샘플이 익명성 보장을 위해 C&C 서버를 Tor 네트워크에 숨기고, 봇넷 붕괴 과정을 더욱 어렵게 하기 위해 커맨드 센터를 숨겼다고 전했습니다.


미라이 악성코드는 2016년 전문가인 MalwareMustDie가 IoT 기기들을 노린 대규모 공격에서 처음으로 발견했습니다.


미라이의 코드가 온라인에 유출되자 수많은 변종들이 생겨났는데, 2018년에만 atori, Masuta, Wicked Mirai, JenX, Omni, OMG 변종이 나타났습니다.


이번에 발견된 새로운 변종은 TCP 포트 9527과 34567을 노리고 있어, IP 카메라 및 DVR을 노리고 있음을 짐작할 수 있습니다.


또한, 다른 포스트를 감염시키는데 사용될 수 있는 디폴트 크리덴셜이 포함되어 있는 것도 발견되었습니다.


이 샘플에서 구현된 통신 프로토콜은 socks5 연결을 사용한다는 것이 특징입니다.


또한 연구원들은 C&C 서버에서 보낸 특정 IP 주소를 노리는 UDP Flood 공격을 위한 DDoS 명령을 가리키는 바이트 시퀀스(byte sequence)도 발견했습니다.



<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/keeping-a-hidden-identity-mirai-ccs-in-tor-network/>



전문가들은 이번에 발견된 미라이 봇넷 샘플이 2017년 발견된 BrickerBot 봇넷을 연상시킨다고 전했습니다.





이전에도 C&C를 Tor에 숨긴 다른 악성코드들은 있었지만, 이번에 발견된 악성코드는 IoT 악성코드 패밀리 진화의 예시로 볼 수 있다고 판단했습니다. 


이 악성코드는 Tor를 사용할 수 있기 때문에 서버를 익명으로 유지할 수 있어 악성코드의 제작자와 C&C 소유주를 식별할 수 없게 만듭니다.


악성코드가 발견되더라도 서버는 계속 운영되며, 네트워크 트래픽은 합법적인 것으로 위장하여 암호화된 채로 남아있을 수 있습니다.


또한 Tor를 사용하는 덕분에 블랙리스트에 포함되지 않을 수도 있습니다.


보안 전문가는 또 다른 아키텍처를 타깃으로 설계된 샘플들이 발견된 것으로 공격자들은 해당 공격의 규모를 키우려는 것으로 보인다고 전했습니다.


현재 알약에서는 해당 악성코드에 대해 'Backdoor.Linux.Mirai' 탐지 명으로 진단하고 있습니다.






출처:

https://securityaffairs.co/wordpress/89237/malware/mirai-botnet-tor-c2.html

https://blog.trendmicro.com/trendlabs-security-intelligence/keeping-a-hidden-identity-mirai-ccs-in-tor-network/

티스토리 방명록 작성
name password homepage