ClickCease 매트릭스 봇넷: 최근 디도스 캠페인에서 공격받은 IoT 디바이스 - TuxCare

목차

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

매트릭스 봇넷: 최근 디도스 캠페인에서 공격받은 IoT 디바이스

by 와자핫 라자

2024년 12월 13일 TuxCare 전문가 팀

최근 보고서 에 따르면 Matrix라는 위협 행위자가 최근 디도스 캠페인에서 IOT 디바이스를 활용하고 있다고 합니다. 이러한 공격은 기본적으로 디바이스의 취약점을 악용하여 파괴적인 봇넷을 생성하는 방식으로 작동합니다. 이 문서에서는 매트릭스 봇넷에 대해 자세히 알아보겠습니다. 매트릭스 봇넷의 공격 인프라와 무기, 방어 프로토콜에 대해 자세히 알아보겠습니다. 시작하겠습니다!

매트릭스 봇넷: 초기 발견 및 개요

매트릭스 봇넷 매트릭스 봇넷 은 분산 서비스 거부(DDoS) 공격 캠페인을 관찰한 Aqua의 연구원들에 의해 처음 발견되었습니다. 이 보안 플랫폼은 위협 행위자에 의해 트리거된 활동이 허니펏에서 확인되었다고 언급했습니다. 이 공격 캠페인의 가장 눈에 띄는 측면 중 하나는 접근 가능한 도구를 사용한다는 점입니다.

이러한 공격 무기는 대규모 사이버 공격이 얼마나 쉽게 수행될 수 있는지 알려주는 중요한 역할을 합니다. 또한 이 캠페인은 해커들이 인터넷에 연결된 디바이스의 결함을 악의적인 의도로 활용하는 추세가 증가하고 있는 추세와도 일치합니다. 

공격에 대한 자세한 내용을 살펴보기 전에 먼저 다음과 같은 사실을 알아야 합니다. 매트릭스 봇넷 캠페인은 다양한 공격 도구와 방법론을 결합합니다. 공개 스크립트, 무차별 대입 공격, 취약한 인증정보 악용은 모두 봇넷을 만들기 위해 결합되는 일반적인 예입니다.

초기 액세스 권한 획득에 사용되는 벡터 

해커가 침입하고자 하는 디바이스에 액세스하기 위한 첫 번째 단계는 공개적으로 사용 가능한 스크립트와 도구를 수집하는 것입니다. 그 후 공격자는 기본 또는 하드코딩된 자격 증명을 악용하기 시작하여 다음과 같은 다양한 인터넷 연결 장치에 액세스하기 시작합니다: 

  • IP 카메라. 
  • DVR.
  • 라우터.
  • 통신 장비.
  • 그리고 그 이상. 

공격자는 이러한 장치를 손상시키는 것 외에도 텔넷, SSH, 하둡 및 HugeGraph를 포함한 일반적인 애플리케이션과 프로토콜도 표적으로 삼습니다. 이러한 취약점을 악용하면 보다 강력한 서버 인프라에 액세스할 수 있습니다. 이러한 이니셔티브에 대해 전문가들은 다음과 같이 설명합니다. 다음과 같이 말했습니다. 그:

"이러한 공격의 대부분은 관리자:관리자 또는 루트:카메라와 같은 일반적인 기본 자격 증명을 사용하는 무차별 암호 대입 로그인을 시도하며, 이는 보호되지 않은 디바이스에서 계속 유행하고 있어 특히 취약한 공격에 노출됩니다. 이러한 디바이스는 일단 유출되면 분산 서비스 거부(DDoS) 공격과 같은 대규모 공격의 자산이 됩니다."

매트릭스 봇넷 매트릭스 봇넷 공격 캠페인은 기술적으로 복잡한 기법을 사용하는 것이 아니라 광범위한 보안 허점을 이용합니다. 보안에 관심이 있는 사람들은 보호에 관심이 있는 위협 행위자들이 어떻게 악의적인 의도로 IOT 디바이스를 손상시킬 수 있는지 이해해야 합니다. 공격 캠페인에 사용되는 주요 방법 중 일부는 다음과 같습니다:

장치 방법 
라우터 취약점 해커는 명령 주입 결함인 CVE-2017-18368과 Arcadyan 펌웨어를 실행하는 다양한 장치에 영향을 미치는 CVE-2021-20090을 포함한 취약점을 악용합니다.
DVR 및 카메라 익스플로잇 해커들은 감시 장치의 취약점을 악용하기 위해 Hi3520을 사용합니다. 이를 통해 HTTP를 통한 무단 액세스 및 명령 실행이 가능합니다. 
통신 장비 및 IoT 디바이스 해커는 이러한 디바이스를 대상으로 잘못 구성된 서비스나 오래된 펌웨어와 같은 내재된 취약점을 악용하여 무단 액세스를 허용합니다. 

이러한 취약점을 악용하여 감염된 디바이스를 봇넷에 통합하여 대규모 DDoS 공격이나 기타 악의적인 활동을 실행하는 데 사용할 수 있습니다.

소프트웨어 시스템의 지능형 익스플로잇 해커들은 또한 아파치 하둡의 YARN 및 HugeGraph 서버의 취약점을 악용하여 원격 코드 실행을 허용하고 IoT 장치에서 기업 수준의 소프트웨어 시스템으로 공격 범위를 넓히는 데 집중하고 있습니다.

 

DDoS 공격 캠페인 타깃 

보고서에 따르면 매트릭스 봇넷 해커들은 다양한 IOT 기기를 활용합니다. 전문가들은 이 캠페인의 표적과 목표에 대해 다음과 같이 언급했습니다:

"저희는 이 캠페인의 목표와 영향에 대한 인사이트를 얻기 위해 스캐너가 사용하는 구성 파일을 분석했습니다. 이 분석은 공격자 행동에 대한 자세한 정보를 제공하는 상호 작용이 많은 허니팟과 스캔 활동의 양과 표적이 된 서비스 유형을 강조하는 상호 작용이 적은 허니팟의 데이터로 보완되었습니다."

매트릭스 봇넷 매트릭스 봇넷 해커들은 또한 클라우드 서비스 제공업체(CSP)의 전용 목록을 사용하고 이들의 IP 범위에 집중합니다. 또한 해커들은 소규모 프라이빗 클라우드와 기업도 표적으로 삼았습니다.

이러한 공격 대상 선정은 공격자들이 IoT 디바이스를 대상으로 DDoS 공격을 시작하지만, CSP를 포함함으로써 지역 조직도 공격 대상이 될 수 있음을 시사합니다. 매트릭스 봇넷의 표적이 된 CSP는 매트릭스 봇넷 캠페인의 표적이 된 CSP는 다음과 같습니다:

CSP 목표 백분율 
아마존 웹 서비스(AWS) 48%
Azure  34%
Google 클라우드 플랫폼(GCP) 16%
기타  2%

 

중국과 일본이 공격 캠페인의 가장 큰 표적이 된 지역으로 보인다는 점에 주목할 필요가 있습니다. 그 이유는 해당 지역에서 IoT 디바이스가 광범위하게 사용되고 있기 때문일 수 있습니다. 

또한 전문가들은 미국이 표적 국가 목록에서 15번째에 해당한다고 언급했습니다. 매트릭스 봇넷의 기원과 동기에 대한 인사이트를 제공합니다. 매트릭스 봇넷 해커에 대한 통찰력을 제공한다고 보안 전문가들은 밝혔습니다:

"위협 행위자는 러시아 출신으로 추정되지만 공격 대상 목록에서 러시아는 완전히 빠져 있어 예상과 일치합니다. 그러나 특히 놀라운 점은 우크라이나가 표적 목록에 없다는 것입니다. 이는 공격자들의 동기가 애국적 감정보다는 금전적 이득과 밀접하게 연관되어 있음을 시사하며, 비즈니스 중심의 접근 방식을 강조합니다."

공격 도구 및 방어 프로토콜

공격 인프라와 도구에 관한 한, 공격 인프라와 도구에 관한 한 매트릭스 봇넷 은 파이썬을 40%, 셸과 골랑을 각각 18% 사용하여 개발된 것으로 보입니다. 또한 Java, JavaScript, Perl과 같은 다른 프로그래밍 언어의 기여도도 미미한 것으로 나타났습니다.

이러한 인프라는 다양한 언어에 익숙하다는 점을 시사하지만, 공격에 사용되는 대부분의 도구는 다른 해킹 웹사이트나 GitHub 계정에서 유래합니다. 위협 행위자는 로컬에서 도구를 다운로드하고 수정하지만 외부 스크립트에 크게 의존하는 것으로 추정됩니다. Matrix의 GitHub에 업로드된 주요 도구는 다음과 같습니다: 

  • Mirai 봇넷.
  • DDoS 에이전트. 
  • SSH 스캔 핵툴. 
  • PyBot. 
  • PYnet.
  • DiscordGo. 
  • HTTP/HTTPS 플러드 공격. 
  • 호모 네트워크.

사이버 위협이 더욱 빈번하고 복잡해짐에 따라 적절한 완화 및 보호 메커니즘을 구현하는 것이 필수가 되었습니다. 모니터링 및 탐지 기능에 대한 설명 매트릭스 봇넷 활동에 대해 전문가들은 다음과 같이 말했습니다:

"중복 코드를 삽입하고 샘플 서명을 난독화하는 등의 고급 기술 수단을 채택함으로써 파일 수준에서 방어 기능을 향상시켜 공격 행위를 모니터링하고 식별하기 어렵게 만들었습니다."

매트릭스 봇넷의 희생양이 될 위험을 잠재적으로 완화하려면 매트릭스 봇넷 의 희생양이 될 위험을 잠재적으로 줄이려면 환경, 코드, 컨테이너 이미지 및 클라우드 워크로드를 검사하는 프로토콜을 구현해야 합니다. 이러한 검사를 실행하면 취약점, 숨겨진 멀웨어, 구성 오류를 식별하여 패치를 통해 보호할 수 있습니다.

결론

매트릭스 봇넷 매트릭스 봇넷 캠페인은 공격자가 접근 가능한 도구와 스크립트를 사용하여 IoT 디바이스 및 기업 시스템의 취약점을 얼마나 쉽게 악용할 수 있는지를 강조합니다. 공격자들의 전술을 이해하고 강력한 보안 조치를 구현함으로써 조직은 이러한 광범위하고 진화하는 사이버 위협에 대한 방어를 강화할 수 있습니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스아쿠아 시큐리티.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기