New Mirai botnet hides C2 server in the Tor network to prevent takedowns 트렌드마이크로의 연구원들이 C&C 서버를 Tor 네트워크에 숨기는 새로운 미라이(Mirai) 봇넷을 발견했습니다. 이번에 발견된 변종은 봇넷 운영자의 익명성을 보호하고 법 집행 기관의 봇넷 붕괴 작업을 어렵게 하기 위한 조치로 보입니다. 연구원은 발견된 샘플이 익명성 보장을 위해 C&C 서버를 Tor 네트워크에 숨기고, 봇넷 붕괴 과정을 더욱 어렵게 하기 위해 커맨드 센터를 숨겼다고 전했습니다. 미라이 악성코드는 2016년 전문가인 MalwareMustDie가 IoT 기기들을 노린 대규모 공격에서 처음으로 발견했습니다. 미라이의 코드가 온라인에 유출되자 수많은 변종들이 생겨났..

국내외 보안동향 2019. 8. 2. 10:50

New Mirai Variant Comes with 27 Exploits, Targets Enterprise Devices 새로운 익스플로잇 11개를 추가한 새로운 미라이 변종이 기업용 WePresent WiPG-1000 무선 프레젠테이션 시스템 및 LG Supersign TV와 같은 인기 있는 장비들을 노리고 있는 것으로 나타났습니다. 지난 9월 Palo Alto Network의 Unit 42가 발표한 보고서에서는 Apache Struts 서버로 타깃을 변경한 미라이 봇넷이 작년 발생한 Equifax 사태에서 사용된 것과 동일함을 발견했으며, SonicWall 방화벽 공격에서 Gafgyt 버전 또한 발견되었습니다. 이는 기업의 자산을 노리는 더욱 큰 활동으로 볼 수 있습니다. ※ 관련글 보기 ▶ Mir..

국내외 보안동향 2019. 3. 19. 10:10

올해 6월 새로운 봇넷인 Hikai가 발견되었습니다. Hakai는 Qbot（Gafgyt、Bashlite、Lizkebab、Torlus혹은 LizardStresser라고도 부름）을 기반으로 하고 있으며, 2009년에 이미 웜의 형태로 발견되었고 그 소스가 공개된 악성코드입니다. Hakai 봇넷의 첫번째 버전은 복잡하지 않고 별다른 활동도 하지 않았습니다. 이 개발자는 초기에 보안연구원인 Anubhav의 인기를 이용하여 hakai를 홍보하여 사용자들의 주목을 끌려고 했습니다. Anubhav가 말하길 "악성코드 개발자는 심지어 내 사진을 Hakai C&C 서버인 hakaiboatnet[.]pw 메인페이지로 해놓기도 했다"고 밝혔습니다. .pw는 파키스탄 국가의 최상위 도메인으로, .com, .net 등과 동일한..

국내외 보안동향 2018. 9. 11. 18:17

최근 Mirai 봇넷의 새로운 변종인 "Wicked Mirai"가 발견되었습니다. "Wicked Mirai" 이름은 악성코드에 포함되어 있던 텍스트에서 유래되었으며, 기존의 Mirai 악성코드와 비교한 결과 최소 3개 이상의 새로운 취약점을 사용하고 있는 것이 확인되었습니다. Mirai 봇넷은 2016년 처음 발견되었으며, 대규모 DDoS 공격에 사용되었습니다. Mirai 소스코드는 2016년 10월 온라인상에 공개되었으며, 공개된 이후 빠른 속도로 Satori, Masuta, Okiru 등 다양한 변종들이 출현하였습니다. "Wicked Mirai"의 제작자는 다른 변종들을 제작한 제작자와 동일 인물인 것으로 추정되고 있습니다. Mirai 봇넷은 3가지 주요 모듈 즉 공격, 삭제 및 스캔 모듈로 이루어져..

국내외 보안동향 2018. 5. 23. 17:27

MIRAI VARIANT TARGETS FINANCIAL SECTOR WITH IOT DDOS ATTACKS 미라이 봇넷의 변종이 금융 분야 기업체를 타겟으로 한 DDoS 캠페인에 사용 된 것으로 나타났습니다. 이 공격은 최소 13,000개의 하이잭 된 IoT 기기들을 활용해 최대 30Gbps의 트래픽을 발생 시켰으며, 이는 620Gbps를 기록한 오리지널 미라이 공격보다는 덜 강력합니다. 연구원들이 공개한 바에 따르면, 미라이 봇넷과 악성코드 변종은 지난 2017년 10월 처음으로 발견 된 IoTroop 봇넷(또는 Reaper)과 연관시킬 수 있는 특성들을 가지고 있는 것으로 나타났습니다. 연구원들이 발견한 가장 최근 공격은 1월 27~28일 사이 일어났습니다. 이들은 3개의 공격을 제보했습니다. 첫 ..

국내외 보안동향 2018. 4. 11. 10:00

안녕하세요? 이스트시큐리티입니다. 지난 2016년 10월 21일 보안이 취약한 IoT기기들이 미라이 악성코드에 감염되어 DDoS공격에 활용되었습니다. 이 미라이 코드의 소스가 공개되었고, 2018년 1월 31일부터 이를 활용한 안드로이드 악성코드가 등장하였습니다. 미라이 악성코드와 마찬가지로 웜 형태로 스스로 전파되며 안드로이드 OS의 ADB (Android Debug Bridge) 인터페이스를 이용합니다. 감염된 기기들은 모네로 채굴에 이용됩니다. 본 분석 보고서에서는 “ADB.miner”를 상세 분석 하고자 합니다. 악성코드 상세 분석 1) 최초 파일 실행 최초 파일인 sss파일을 실행하면 암호화된 bot.dat을 복호화하고, 복호화된 bot.dat은 nohup, xmrig32/64, droidbot..

악성코드 분석 리포트 2018. 3. 23. 15:55

안녕하세요? 이스트시큐리티입니다. 'IoT(사물인터넷, Internet of Things)'라는 용어를 들었을 때 가장 먼저 어떤 것이 떠오르시나요? 첨단 기술, 편리함, AI 활용 등으로 요즘의 IoT를 표현할 수 있을 텐데요. 많은 매체를 통해서 심심치 않게 접할 수 있으며, 그중에서도 최근 IoT를 활용한 스마트홈 서비스의 광고에서는 사람을 향한 모습들을 통해 우리 일상 깊은 곳에 자리잡으려 하고 있습니다. 불과 몇 년 까지도 SF 영화의 한 장면 혹은 미래라고 여겨지던 광경이 단숨에 현실로 다가왔습니다. 시장이 성장하고 우리의 일상에 IoT 기반의 제품이 보급될 수록 누릴 수 있는 편리함은 늘어갈 것입니다. 하지만, 그 이면에 존재하는 IoT 보안 위협도 현실이며, 늘 염두에 두고 예방해야 합니다..

전문가 기고 2018. 2. 26. 20:15

IoT 기기를 프록시 서버로 변환시키는 새로운 미라이 변종이 등장하였으며, OMG 로 명명되었습니다. 이 변종은 기존의 미라이 코드에 포함되어 있는 일부 구성을 추가 또는 삭제했지만, 공격, 킬러, 스캐너 모듈 등 기존의 미라이 모듈을 그대로 사용하고 있습니다. 연구원들은 ‘OMG 봇넷은 기존의 미라이 악성코드와 동일한 공격 작업을 수행할 수 있다. 예를 들어 열린 포트를 확인하여 텔넷, ssh, http와 관련된 프로세스 및 다른 봇들과 관련된 프로세스를 중단시킬 수 있다. 또는 텔넷 무작위 대입 공격, 디도스 공격 등도 수행할 수 있다’고 설명합니다. 그러나 OMG 봇넷의 주요 목적은 프록시 기능입니다. 해커들은 해킹 및 다른 악성 작업을 실행할 때 익명으로 수행하기 위해 프록시를 사용합니다. 프록시..

국내외 보안동향 2018. 2. 23. 16:00