ClickCease 미라이 봇넷, 제로데이 버그를 악용한 디도스 공격

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

미라이 봇넷, 제로데이 버그를 악용한 디도스 공격

와자핫 라자

2023년 12월 4일 TuxCare 전문가 팀

감염된 슬러어 미라이 봇넷 멀웨어인 감염된 슬러스는 두 개의 제로데이 원격 코드 실행 (RCE) 취약점을 악용하고 있습니다. 이 멀웨어는 라우터와 비디오 레코더(NVR) 디바이스를 표적으로 삼아 분산 서비스 거부(DDoS) 공격의 일부로 만들려고 합니다. 이 봇넷은 2023년 10월에 발견되었지만에 발견되었지만, 초기 활동은 2022년 하반기로 거슬러 올라가는 것으로 추정됩니다. 이 블로그에서는 봇넷이 어떻게 발견되었는지, 어떻게 작동하는지 등에 대해 자세히 알아보겠습니다.

 

미라이 봇넷 탐지 세부 정보 


이 봇넷은 Akamai의 보안 인텔리전스 대응팀(SIRT)이 회사의 허니팟과 관련된 악성 활동을 발견하면서 발견되었습니다. 현재로서는 거의 사용되지 않는 TCP 포트를 대상으로 악성 활동이 시작된 것으로 추정됩니다. SIRT 팀은 제로데이 익스플로잇의 발생 빈도와 관련하여
제로데이 익스플로잇.

An 분석 분석 제로데이 취약점에 따르면 다음과 같습니다, "봇넷 활동은 하루 20건으로 정점을 찍은 후 하루 평균 2~3건으로 줄어들었고, 어떤 날은 전혀 시도하지 않은 날도 있었습니다." 봇넷의 먹잇감이 된 취약한 디바이스는 2023년 11월 9일까지 알려지지 않았다는 점을 언급할 필요가 있습니다.

처음에 프로브는 저주파로 POST 요청을 사용하여 인증을 시도했습니다. 액세스 권한을 획득한 후 봇넷은 명령 인젝션 익스플로잇을 시도했습니다. 연구원들은 또한 이 봇넷이 미라이 변종을 설치하기 위해 기본 관리자 자격 증명을 사용했다는 사실도 확인했습니다. 

추가 관찰 결과, 호텔과 주거용으로 제작된 무선 LAN 라우터도 미라이 봇넷의 표적이 되고 있는 것으로 확인되었습니다. 미라이 봇넷. 무단 접속에 악용되는 RCE 결함에 대해 아카마이는 다음과 같이 설명했습니다: "SIRT는 이 벤더의 NVR 디바이스에 영향을 미치는 것으로 알려진 CVE를 빠르게 확인했고, 새로운 제로데이 익스플로잇이 야생에서 활발히 활용되고 있다는 사실을 발견하고 놀랐습니다."


감염된 비방, JenX, hailBot 


감염된 슬러어 봇넷은 다음과 같은 것으로 의심됩니다.
다른 사이버 보안 위협 와 연계된 것으로 의심됩니다. 이 봇넷은 명령 및 제어(C2) 서버와 문자열에 인종 차별적이고 모욕적인 언어를 사용한다는 점에서 그 이름을 얻었습니다. 현재 연구원들은 이 봇넷이 2018년에 등장한 JenX Mira 멀웨어의 변종으로 추정하고 있습니다.

이 봇넷은 주로 JenX 변종을 사용하지만, 일부 샘플은 hailBot 변종과도 연결된 것으로 보입니다. 네트워크 보안 조치를 구현하려는 네트워크 보안 조치 네트워크 보안 조치를 구현하려는 사람들은 JenX 파일 이름이 "jxkl" 이며, hailBot의 추정 파일 이름은 "skid."

hailBot의 또 다른 고유 식별자는 콘솔 문자열입니다. "우박 중국 본토" 이며, 실행 중에 분명해집니다. 이는 C2 서버에서 가져온 샘플에서 널리 퍼져 있었습니다. "5.181.80[.]120" 도메인 이름 "husd8uasd9[.]online."

C2 인프라에 대한 다른 언급은 삭제된 텔레그램 사용자들로부터도 발견되었습니다. "DStatCC." 또한, 초기 미라이 봇넷과 10월에 사용된 봇넷의 공격은 동일한 기능을 사용하고 동일한 메모리 위치를 노린다는 점에서 매우 유사해 보입니다.


사이버 공격 방어 전략 


논의하기 전에
봇넷 취약성 예방에 대해 설명하기 전에 SIRT 팀이 여러 사이버 보안 기관과 협력하여 봇넷의 영향을 받는 공급업체에 알리고 있다는 점을 알려드립니다. 익스플로잇의 수를 늘릴 수 있으므로 벤더의 세부 정보는 공개하지 않았습니다.

사물 인터넷(IoT) 보안 이러한 공격을 예방하기 위한 조치는 감염된 슬러 감염과 디도스 공격에 따라 다릅니다.

  • 감염된 슬러 감염의 경우:

    • 기본 자격 증명을 확인하고 교체합니다. 
    • 취약한 디바이스를 격리하고 침해 여부를 조사하세요.
  • 대상 DDoS 공격 방지:

    • 구현 CISA 권장 사항.
    • 서브넷과 IP 공간을 검사합니다. 
    • DDoS 보안 제어를 개발하세요. 
    • 측면 이동 기회를 테스트하고 제거합니다.

결론

 

감염된 슬러 봇넷은 알려지지 않은 두 가지 RCE 취약점을 이용해 NVR 장치를 표적으로 삼고 있습니다. 이 멀웨어는 이제 막 발견되었지만, 그 활동은 2022년으로 거슬러 올라갑니다. 이 봇넷은 JenX와 hailBot을 포함한 이전 변종과 연결되어 있습니다. 아직까지 패치는 배포되지 않았지만, 사전 예방적 사이버 보안 조치를 사전 예방적 사이버 보안 조치 를 준수하면 보안 태세를 개선하고 위협 행위자로부터 보호하는 데 도움이 될 수 있습니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스삐 소리 나는 컴퓨터.

 

요약
미라이 봇넷, 제로데이 버그를 악용한 디도스 공격
기사 이름
미라이 봇넷, 제로데이 버그를 악용한 디도스 공격
설명
최신 미라이 봇넷과 그 작동 방식에 대해 알아보세요. 지금 바로 최신 정보를 확인하고 디바이스를 안전하게 보호하세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기