.jpg)
.gif)
미라이는 이제 디도스 공격 분야에서는 너무나 흔한 이름이 되어버렸다. 여러 변종이 등장하긴 했지만 사실은 크게 변함이 없는 것이 사실이기도 하다. 그렇지만 처음 등장했을 때나 지금이나 위험한 건 매한가지다.
[보안뉴스 문정후 기자] 미라이 봇넷이 계속해서 디도스 공격의 신기록을 수립하는 중이다. 보안 업계에서는 ‘언제적 미라이가 아직까지 기승이냐’는 탄식이 절로 나오고 있다. 보안 업체 코레로네트워크시큐리티(Corero Network Security)는 오늘자 보고서를 통해 미라이의 공격 기법을 소개하여 방어에 도움을 주고자 하였다.
[이미지 = gettyimagesbank]
“미라이의 재미있는 점은 그 동안 대대적인 변화나 업그레이드가 없었는데도 수년 째 효과적인 공격 도구로서 우리를 위협한다는 겁니다.” 코레로의 수석 엔지니어인 후이 응구옌(Huy Nguyen)의 설명이다. “물론 여러 변종들이 등장했습니다만, 핵심 기능이나 성능은 고만고만했습니다. 그만큼 우리가 사용하는 사물인터넷 장비들이 허술하다는 것입니다. 미라이가 처음 등장했을 때나 지금이나 큰 발전이 없었다는 것이죠.”
너무 흔한 이름이 되어버려 미라이에 대해 크게 걱정하지 않는 분위기가 만연하기도 한데, 응구옌은 “커다란 조직들이라도 미라이 때문에 심각한 타격을 입을 정도로 미라이는 중대한 위협”이라고 경고한다. “미라이는 2016년 소스코드가 유출된 이후 수많은 아마추어 공격자들의 훈련용 교보재가 되었습니다. 그래서 여러 가지 버전들이 지금까지도 나오고 있고, 이 때문에 ‘미라이에 대처한다’는 것이 생각보다 복잡하고 어려운 일이 되어가고 있습니다. 이러한 현상도 미라이를 쉽지 않은 위협으로 만듭니다.”
미라이가 주로 사용하는 기법들
미라이 때문에 크고 작은 피해를 입은 ‘대기업’ 혹은 ‘거대 조직’은 프랑스의 OVH, 라이베리아 정부, DNS 업체 딘(Dyn) 등이 있다. 딘의 경우 트위터, 레딧, 깃허브, CNN 등 여러 유명 업체들이 사용하고 있었고, 때문에 당시의 미라이 공격 때문에 딘이 마비되면서 유수의 기업들이 죄다 불통 상태로 전환됐다. 인터넷의 큰 부분이 마비된 것이었다.
미라이는 기본적으로 사물인터넷 장비들을 장악하고, 그 장비들을 이용해 트래픽을 쏟아내며 디도스 공격을 하는 것을 골자로 하는 멀웨어다. 변종들이 등장하며 여러 기능들이 추가되거나 빠지기도 했지만 여전히 미라이는 사물인터넷 장비를 장악하여 디도스 공격을 퍼붓는 멀웨어다. 이 사실에는 변함이 없다. “그렇기 때문에 미라이는 각종 디도스 공격 기법을 활용하려는 성향을 가지고 있습니다.”
그 중 하나는 UDP 플러드(UDP flood)라고 하는 공격 기술이다. 피해자의 대역폭 전체가 트래픽으로 넘쳐나게(flood) 만드는 기법이다. 그 다음 미라이와 자주 연루되는 공격 기법은 베일소스엔진 쿼리 플러드(Vale Source Engine query flood)다. 정적 티소스엔진쿼리(TSource Engine Query)을 페이로드로 활용하는 공격 기법으로, 특별한 매개변수가 없을 경우 UDP 트래픽을 27015 포트로 보내는 특징을 가지고 있다.
세 번째로 자주 사용되는 공격 기법은 DNS워터토처(DNS Water Torture)라고 불린다. 특정 IP 주소나 서브넷을 겨냥하는 공격이 아니라 DNS 서버의 자원을 공략하는 기법이다. 이 때 DNS 쿼리들을 리졸버들로 전송하는데, 이 때문에 피해자의 도메인이 제대로 리졸브 되지 않게 된다. 그 다음 자주 사용되는 기법은 UDP 플러드와 비슷한데, 공격 표적이 그리 많지 않고 더 높은 PPS에 맞게 최적화 되어 있다.
다섯 번째로 인기 높은 공격 기법은 신 플러드(SYN flood)로, 페이로드도 없고 여러 포트를 무작위로 공격하기 때문에 방어가 까다롭다. 이와 비슷한 공격으로 ACK 플러드(ACK flood)가 있는데, 페이로드가 존재한다는 점에서 차이를 갖는다. ACK 플러드 역시 방어하기가 까다롭다.
일곱 번째 공격은 이름이 따로 붙지 않는다. 다만 봇처럼 행동하지 않으려 한다는 특징을 가지고 있기 때문에 방어자 입장에서 정상 트래픽과 비정상 트래픽을 구분하기가 어려워진다. STOMP(Simple Text Oriented Messaging Protocol)라는 프로토콜을 활용하지만 가끔씩 다른 프로토콜을 사용해 보다 큰 충격을 남기기도 한다.
GRE 플러드(GRE flood) 공격이라는 것도 있다. IP 패킷들을 GRE 패킷들 안에 집어넣고, 출처 IP와 도착 IP, UDP 출처 포트와 UDP 도착 포트를 무작위로 결정한다. 내부 패킷의 UDP 페이로드도 무작위로 정해진다. BPS 볼륨이 어마어마하게 높아지며, 따라서 파괴적인 디도스 공격이 가능하다고 응구옌은 설명한다. 마지막으로 미라이는 레이어 7 HTTP 플러드(Http flood) 공격을 통해 매개변수를 자유자재로 조정하기도 한다.
미라이의 핵심 기능과 공격 목적은 변함이 없다시피 하지만 미라이 멀웨어를 피해자의 시스템에 안착시키는 방법은 꽤나 다양하다. 응구옌은 그것이 미라이의 독특한 점이기도 하다고 경고한다. “이 때문에 배포 단계에서부터 미라이를 완전 차단한다는 것은 불가능한 일에 가깝습니다. 다른 멀웨어들의 배포 전략을 거의 전부 사용하고 있다고 해도 과언이 아닙니다. 그러니 미라이가 피해자의 시스템에 설치된 이후 실시하는 악성 행위들에 집중해 피해를 최소화 하는 게 효과적입니다.”
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 미라이 봇넷이 계속해서 디도스 공격의 신기록을 수립하는 중이다. 보안 업계에서는 ‘언제적 미라이가 아직까지 기승이냐’는 탄식이 절로 나오고 있다. 보안 업체 코레로네트워크시큐리티(Corero Network Security)는 오늘자 보고서를 통해 미라이의 공격 기법을 소개하여 방어에 도움을 주고자 하였다.
[이미지 = gettyimagesbank]
“미라이의 재미있는 점은 그 동안 대대적인 변화나 업그레이드가 없었는데도 수년 째 효과적인 공격 도구로서 우리를 위협한다는 겁니다.” 코레로의 수석 엔지니어인 후이 응구옌(Huy Nguyen)의 설명이다. “물론 여러 변종들이 등장했습니다만, 핵심 기능이나 성능은 고만고만했습니다. 그만큼 우리가 사용하는 사물인터넷 장비들이 허술하다는 것입니다. 미라이가 처음 등장했을 때나 지금이나 큰 발전이 없었다는 것이죠.”
너무 흔한 이름이 되어버려 미라이에 대해 크게 걱정하지 않는 분위기가 만연하기도 한데, 응구옌은 “커다란 조직들이라도 미라이 때문에 심각한 타격을 입을 정도로 미라이는 중대한 위협”이라고 경고한다. “미라이는 2016년 소스코드가 유출된 이후 수많은 아마추어 공격자들의 훈련용 교보재가 되었습니다. 그래서 여러 가지 버전들이 지금까지도 나오고 있고, 이 때문에 ‘미라이에 대처한다’는 것이 생각보다 복잡하고 어려운 일이 되어가고 있습니다. 이러한 현상도 미라이를 쉽지 않은 위협으로 만듭니다.”
미라이가 주로 사용하는 기법들
미라이 때문에 크고 작은 피해를 입은 ‘대기업’ 혹은 ‘거대 조직’은 프랑스의 OVH, 라이베리아 정부, DNS 업체 딘(Dyn) 등이 있다. 딘의 경우 트위터, 레딧, 깃허브, CNN 등 여러 유명 업체들이 사용하고 있었고, 때문에 당시의 미라이 공격 때문에 딘이 마비되면서 유수의 기업들이 죄다 불통 상태로 전환됐다. 인터넷의 큰 부분이 마비된 것이었다.
미라이는 기본적으로 사물인터넷 장비들을 장악하고, 그 장비들을 이용해 트래픽을 쏟아내며 디도스 공격을 하는 것을 골자로 하는 멀웨어다. 변종들이 등장하며 여러 기능들이 추가되거나 빠지기도 했지만 여전히 미라이는 사물인터넷 장비를 장악하여 디도스 공격을 퍼붓는 멀웨어다. 이 사실에는 변함이 없다. “그렇기 때문에 미라이는 각종 디도스 공격 기법을 활용하려는 성향을 가지고 있습니다.”
그 중 하나는 UDP 플러드(UDP flood)라고 하는 공격 기술이다. 피해자의 대역폭 전체가 트래픽으로 넘쳐나게(flood) 만드는 기법이다. 그 다음 미라이와 자주 연루되는 공격 기법은 베일소스엔진 쿼리 플러드(Vale Source Engine query flood)다. 정적 티소스엔진쿼리(TSource Engine Query)을 페이로드로 활용하는 공격 기법으로, 특별한 매개변수가 없을 경우 UDP 트래픽을 27015 포트로 보내는 특징을 가지고 있다.
세 번째로 자주 사용되는 공격 기법은 DNS워터토처(DNS Water Torture)라고 불린다. 특정 IP 주소나 서브넷을 겨냥하는 공격이 아니라 DNS 서버의 자원을 공략하는 기법이다. 이 때 DNS 쿼리들을 리졸버들로 전송하는데, 이 때문에 피해자의 도메인이 제대로 리졸브 되지 않게 된다. 그 다음 자주 사용되는 기법은 UDP 플러드와 비슷한데, 공격 표적이 그리 많지 않고 더 높은 PPS에 맞게 최적화 되어 있다.
다섯 번째로 인기 높은 공격 기법은 신 플러드(SYN flood)로, 페이로드도 없고 여러 포트를 무작위로 공격하기 때문에 방어가 까다롭다. 이와 비슷한 공격으로 ACK 플러드(ACK flood)가 있는데, 페이로드가 존재한다는 점에서 차이를 갖는다. ACK 플러드 역시 방어하기가 까다롭다.
일곱 번째 공격은 이름이 따로 붙지 않는다. 다만 봇처럼 행동하지 않으려 한다는 특징을 가지고 있기 때문에 방어자 입장에서 정상 트래픽과 비정상 트래픽을 구분하기가 어려워진다. STOMP(Simple Text Oriented Messaging Protocol)라는 프로토콜을 활용하지만 가끔씩 다른 프로토콜을 사용해 보다 큰 충격을 남기기도 한다.
GRE 플러드(GRE flood) 공격이라는 것도 있다. IP 패킷들을 GRE 패킷들 안에 집어넣고, 출처 IP와 도착 IP, UDP 출처 포트와 UDP 도착 포트를 무작위로 결정한다. 내부 패킷의 UDP 페이로드도 무작위로 정해진다. BPS 볼륨이 어마어마하게 높아지며, 따라서 파괴적인 디도스 공격이 가능하다고 응구옌은 설명한다. 마지막으로 미라이는 레이어 7 HTTP 플러드(Http flood) 공격을 통해 매개변수를 자유자재로 조정하기도 한다.
미라이의 핵심 기능과 공격 목적은 변함이 없다시피 하지만 미라이 멀웨어를 피해자의 시스템에 안착시키는 방법은 꽤나 다양하다. 응구옌은 그것이 미라이의 독특한 점이기도 하다고 경고한다. “이 때문에 배포 단계에서부터 미라이를 완전 차단한다는 것은 불가능한 일에 가깝습니다. 다른 멀웨어들의 배포 전략을 거의 전부 사용하고 있다고 해도 과언이 아닙니다. 그러니 미라이가 피해자의 시스템에 설치된 이후 실시하는 악성 행위들에 집중해 피해를 최소화 하는 게 효과적입니다.”
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)