상세 컨텐츠

본문 제목

새로운 Matryosh DDoS 봇넷, 안드로이드 기반 기기 노려

국내외 보안동향

by 알약4 2021. 2. 5. 09:00

본문

 

 

Beware: New Matryosh DDoS Botnet Targeting Android-Based Devices

 

초기 단계의 악성코드 캠페인이 안드로이드 기기를 봇넷에 추가하고 있는 것으로 나타났습니다. 이 캠페인의 주된 목적은 DDoS 공격을 수행하는 것이었습니다.

 

 

<이미지 출처 : https://blog.netlab.360.com/matryosh-botnet-is-spreading-en/>

 

 

Qihoo 360 Netlab의 연구원들이 “Matryosh”라 명명한 이 최신 공격은 Mirai 봇넷 프레임워크를 재사용했으며, 노출된 ADB(Android Debug Bridge) 인터페이스를 통해 안드로이드 기기를 감염시키고, 이를 그들의 네트워크에 묶어버립니다.

 

ADB는 커뮤니케이션을 처리하고 개발자가 안드로이드 기기에 앱을 설치 및 디버깅 할 수 있도록 하는 안드로이드 SDK의 커맨드라인 툴입니다.

 

해당 옵션은 대부분의 안드로이드 스마트폰 및 태블릿에서 기본적으로 꺼져있는 상태이지만, 일부 공급 업체는 이 기능이 활성화된 상태로 출시하기 때문에 인증되지 않은 공격자가 5555TCP 포트를 통해 기기에 원격으로 연결하여 장치를 직접 오픈해 악용이 가능합니다.

 

봇넷이 ADB를 활용하여 취약한 기기를 감염시킨 것은 이번이 처음은 아닙니다.

 

20187, ADB 포트는 Fbot을 포함한 Satori 봇넷 변종 다수를 확산시키는데 사용되었으며, 이로부터 1년 후 새로운 가상화폐 마이닝 봇넷 악성코드가 발견되었으며 동일한 인터페이스를 통해 한국, 대만, 홍콩, 중국의 안드로이드 사용자들을 노렸습니다.

 

하지만 Matryosh의 특이점은 악성 행위를 숨기고 네트워크를 통해 공격자가 제어하는 서버에서 명령을 받아온다는 것입니다.

 

Netlab의 연구원들은 “C2를 얻어내는 과정은 마트료시카 인형처럼 여러 층으로 둘러싸여 있다라고 밝혔습니다.

 

Matryosh는 원격 호스트네임을 복호화하고 DNS TXT 요청(리소스 기록 유형)을 통해 TOR C2 TOR 프록시를 얻어냅니다.

 

그 후 TOR 프록시와의 연결을 설정하고 프록시를 통해 TOR C2 서버와 통신하며 서버의 추가 지시를 기다립니다.

 

연구원들은 이 봇넷의 명령 형식과 TOR C2를 사용한다는 점이 Moobot 그룹이 개발한 LeetHozer라는 다른 봇넷과 매우 유사하다고 밝혔습니다.

 

연구원들은 이러한 내용을 고려해볼 때 Matryosh가 이 그룹의 새로운 작업 방식일 것으로 추측한다고 밝혔습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Linux.Matryosh'로 탐지 중입니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/02/beware-new-matryosh-ddos-botnet.html

https://blog.netlab.360.com/matryosh-botnet-is-spreading-en/

관련글 더보기

댓글 영역