2016.07.01

IoT 기기에서 디도스 봇넷 100개 이상 발견… 리눅스 악성코드 이용

Lucian Constantin | IDG News Service
악명높은 리자드 스쿼드(Lizard Squad) 공격자 집단이 작성한 리눅스 시스템용 디도스 악성코드인 리자드스트레서(LizardStresser)가 지난 1년 동안 100개 이상의 봇넷을 생성하는 데 쓰인 것으로 파악됐다. 


IoT 기기가 디도스 공격에 점점 더 많이 쓰이고 있다. Credit : Michelle Maher

리자드스트레서는 2가지 구성 요소가 있다. 하나는 클라이언트를 제어하기 위해 공격자가 해킹한 서버와 리눅스 기기에서 운영하는 클라이언트다. 이는 몇 가지 유형의 디도스 공격을 시작하고 쉘 명령을 실행하며 하드 코딩되거나 기본적으로 있는 크레덴셜을 시도함으로써 텔넷 프로토콜로 다른 시스템에 전파할 수 있다.

리자드스트레서 코드는 덜 숙련된 공격자들에게 새로운 디도스 봇넷을 개발하는 쉬운 방법을 제공하면서 2015년 초 온라인에 퍼졌다. 고유의 리자드스트레서 커맨드앤컨트롤 서버 숫자는 그때부터 꾸준히 증가했고 디도스 공격 완화 업체인 아버 네트웍스의 연구원에 따르면, 올 6월까지 100개 이상이 집계됐다.

디도스 봇은 x86 CPU 아키텍처용 버전뿐 아니라 ARM과 MIPS와 함께 매우 범용성이 있고, 일반적으로 임베디드 기기에서 쓰인다.

IoT 기기는 디도스 봇과 잘 맞는다. 왜냐면 이들은 리눅스의 일부 친숙한 변형을 구동하고, 자원이 제한돼 있기 때문에 이들은 악성코드를 탐지하거나 고급 보안 기능이 없고 인터넷에 직접 연결될 때 일반적으로 대역폭을 제한하거나 방화벽으로 필터링하지 않는다.

소프트에어와 하드웨어 컴포넌트의 재사용은 개발비를 낮추고 단순화할 수 있기 때문에 IoT 세계에서 매우 일반적이다. 이 때문에 하나의 기기를 처음 관리할 때 쓰였던 기본 크레덴셜이 나중에 서로 다른 기기 전체로 진입하는 길을 열어줄 수도 있다고 아버 네트웍스 연구원은 블로그 게시물에서 밝혔다.

IoT 봇넷은 매우 강력할 수 있다. 아버 네트웍스는 은행, 통신, 브라질 정부기관뿐 아니라 미국 게임회사 3곳을 공격하는 데 쓰였던 2가지 IoT 봇넷을 조사했다.

공격 중 하나는 400Gbps 이상에서 절정에 달했고, 악성 트래픽이 시작된 호스트의 90%는 넷서빌리언스 웹(NETSurveillance WEB)이라는 웹 기반 인터페이스에서 HTTP를 통해 반응했다.

아버 네트웍스의 연구원은 "좀 더 많은 연구를 하면서 넷서빌리언스 웹 인터페이스는 인터넷에 연결된 다양한 웹 카메라에 사용된 일반적인 코드인 것으로 나타났다"고 말했다. 이어서 "루트 사용자의 기본 암호는 온라인으로 사용할 수 있으며 텔넷은 기본적으로 활성화되어 있다"고 덧붙였다.


IoT 봇넷이 디도스 공격에 악용됐다는 조사 결과는 이번에 처음 나온 것이 아니다. 웹 보안 업체인 수쿠리(Sucuri)는 최근 2만 5,000대 이상의 CCTV 카메라와 디지털카메라에서 디도스 공격을 시도하는 봇넷을 발견했다고 보고했다. ciokr@idg.co.kr
 



2016.07.01

IoT 기기에서 디도스 봇넷 100개 이상 발견… 리눅스 악성코드 이용

Lucian Constantin | IDG News Service
악명높은 리자드 스쿼드(Lizard Squad) 공격자 집단이 작성한 리눅스 시스템용 디도스 악성코드인 리자드스트레서(LizardStresser)가 지난 1년 동안 100개 이상의 봇넷을 생성하는 데 쓰인 것으로 파악됐다. 


IoT 기기가 디도스 공격에 점점 더 많이 쓰이고 있다. Credit : Michelle Maher

리자드스트레서는 2가지 구성 요소가 있다. 하나는 클라이언트를 제어하기 위해 공격자가 해킹한 서버와 리눅스 기기에서 운영하는 클라이언트다. 이는 몇 가지 유형의 디도스 공격을 시작하고 쉘 명령을 실행하며 하드 코딩되거나 기본적으로 있는 크레덴셜을 시도함으로써 텔넷 프로토콜로 다른 시스템에 전파할 수 있다.

리자드스트레서 코드는 덜 숙련된 공격자들에게 새로운 디도스 봇넷을 개발하는 쉬운 방법을 제공하면서 2015년 초 온라인에 퍼졌다. 고유의 리자드스트레서 커맨드앤컨트롤 서버 숫자는 그때부터 꾸준히 증가했고 디도스 공격 완화 업체인 아버 네트웍스의 연구원에 따르면, 올 6월까지 100개 이상이 집계됐다.

디도스 봇은 x86 CPU 아키텍처용 버전뿐 아니라 ARM과 MIPS와 함께 매우 범용성이 있고, 일반적으로 임베디드 기기에서 쓰인다.

IoT 기기는 디도스 봇과 잘 맞는다. 왜냐면 이들은 리눅스의 일부 친숙한 변형을 구동하고, 자원이 제한돼 있기 때문에 이들은 악성코드를 탐지하거나 고급 보안 기능이 없고 인터넷에 직접 연결될 때 일반적으로 대역폭을 제한하거나 방화벽으로 필터링하지 않는다.

소프트에어와 하드웨어 컴포넌트의 재사용은 개발비를 낮추고 단순화할 수 있기 때문에 IoT 세계에서 매우 일반적이다. 이 때문에 하나의 기기를 처음 관리할 때 쓰였던 기본 크레덴셜이 나중에 서로 다른 기기 전체로 진입하는 길을 열어줄 수도 있다고 아버 네트웍스 연구원은 블로그 게시물에서 밝혔다.

IoT 봇넷은 매우 강력할 수 있다. 아버 네트웍스는 은행, 통신, 브라질 정부기관뿐 아니라 미국 게임회사 3곳을 공격하는 데 쓰였던 2가지 IoT 봇넷을 조사했다.

공격 중 하나는 400Gbps 이상에서 절정에 달했고, 악성 트래픽이 시작된 호스트의 90%는 넷서빌리언스 웹(NETSurveillance WEB)이라는 웹 기반 인터페이스에서 HTTP를 통해 반응했다.

아버 네트웍스의 연구원은 "좀 더 많은 연구를 하면서 넷서빌리언스 웹 인터페이스는 인터넷에 연결된 다양한 웹 카메라에 사용된 일반적인 코드인 것으로 나타났다"고 말했다. 이어서 "루트 사용자의 기본 암호는 온라인으로 사용할 수 있으며 텔넷은 기본적으로 활성화되어 있다"고 덧붙였다.


IoT 봇넷이 디도스 공격에 악용됐다는 조사 결과는 이번에 처음 나온 것이 아니다. 웹 보안 업체인 수쿠리(Sucuri)는 최근 2만 5,000대 이상의 CCTV 카메라와 디지털카메라에서 디도스 공격을 시도하는 봇넷을 발견했다고 보고했다. ciokr@idg.co.kr
 

X