ClickCease 미라이 노아봇: 암호화폐 채굴 위협으로부터 서버 보호

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

미라이 노아봇: 암호화폐 채굴 위협으로부터 서버 보호

와자핫 라자

2024년 1월 22일 TuxCare 전문가 팀

최근의 사이버 보안 개발에서 새로운 미라이 기반 봇넷 으로 알려진 미라이 노아봇 이라는 새로운 미라이 기반 봇넷이 등장하여 2023년 초부터 리눅스 서버에 심각한 위협을 가하고 있습니다. 허니팟에서 추출한 Akamai의 텔레메트리 데이터에 따르면 노아 봇 감염이 꾸준히 증가하고 있으며 지난달에 그 규모가 최고치를 기록했습니다.

이 블로그 게시물은 다음과 같은 복잡한 내용을 자세히 설명합니다. 노아봇 멀웨어에 대한 FTC 경고의 출처, 수법, 조직이 시스템을 보호하기 위해 취할 수 있는 조치에 대해 자세히 설명합니다.

 

미라이 노아봇의 전술 공개


Akamai 연구원들은 노아 봇이 측면 이동을 위해 SSH 인증정보 사전 공격에 의존한다는 사실을 밝혀냈습니다. 800개가 넘는
800개 이상의 고유 IP 주소 감염 징후를 보이는데, 이 중 10%가 중국으로 추적되었습니다. 노아 봇 익스플로잇 SSH 서버 취약점 조직에서 종종 간과하는 SSH 서버 취약점, 즉 평범한 오래된 SSH 자격 증명을 악용합니다. 암호화폐 서버에 대한 암호화 서버 공격에 대한 FTC 경보 는 디지털 공간에서 증가하는 위협 환경을 강조합니다.


미라이에서 노아봇으로의 진화


2016년에 처음 등장한 디도스 봇넷인 미라이는 이후 리눅스 자체 전파 봇넷의 발판을 마련했으며, 일부는 다음과 같은 공격에 집중했습니다.
디도스 공격일부는 디도스 공격에, 일부는 암호화폐 채굴에, 일부는 두 가지 모두에 집중했습니다. 미라이의 파생물인 노아봇은 주로 텔넷 스캐너를 SSH 스캐너로 대체하는 등 수정된 점이 눈에 띕니다.

Linux 서버는 임베디드 디바이스와 달리 SSH가 활성화되어 있을 가능성이 높기 때문에 이러한 변화는 당연한 것입니다. 따라서 미라이 노아봇으로부터 보호 으로부터 보호하는 것은 진화하는 사이버 위협에 맞서 Linux 서버의 보안을 보장하는 데 가장 중요합니다.


노아봇의 고유 기능


노아봇의 개발자는 미라이의 소스 코드를 크게 변경하여 고유한 정체성을 확보했습니다. 컴파일러를 GCC에서 uClib으로 교체하여 바이너리 코드를 Mirai와 크게 다르게 만들었습니다. 특히, 노아 봇의 SSH 스캐너는 명확한 시그니처를 남깁니다. SSH 연결이 수락되면 봇넷 클라이언트는 다음과 같은 파격적인 메시지를 보냅니다.
"hi" 이 메시지는 방화벽 서명을 생성하는 데 사용될 수 있습니다.


지속성 메커니즘 및 백도어 기능


노아봇은 지속성 메커니즘을 도입했습니다.
"noa" 라는 지속성 메커니즘을 도입하여 비밀번호 기반 인증이 비활성화되어도 계속 존재할 수 있도록 합니다. 이 메커니즘은 SSH 인증 키에 공격자가 제어하는 키를 추가하는 것을 포함합니다. 또한 암호화폐 채굴 멀웨어 봇은 백도어 역할을 하여 추가 바이너리를 다운로드하고 시스템 재부팅 후 시작되도록 크론탭 항목을 생성합니다.


암호화폐 채굴 서버 공격


노아 봇은 널리 사용되는 오픈 소스 암호화폐 채굴 프로그램인 XMRig를 통합합니다. 그러나 노아 봇의 배후에 있는 위협 행위자들은 XMRig를 고급 수정하여 구성, 특히 채굴 풀의 IP 주소를 숨기고 암호화했습니다. 특히, 연구원들은 위협 행위자가 개인 풀을 운영하여 지갑을 지정할 필요가 없으므로 수집된 암호화폐에 대한 통제권을 유지할 수 있다고 추측합니다.


P2P감염 연결


아카마이 연구진은 노아 봇의 제작자와 맞춤형 버전의
P2PInfect와의 연관성을 발견했습니다. P2PInfect는 Lua 취약점을 악용하여 Redis 서버를 표적으로 삼습니다.

위협 공격자들이 Mirai에서 P2PInfect로 전환한 이유는 아직 명확하지 않지만, 연구자들은 사용자 지정 코드를 사용하는 것이 리버스 엔지니어링의 난이도를 높이고자 하는 욕구를 나타내는 것일 수 있다고 말합니다.

 

미라이 노아봇 보호 프로토콜

 

SSH 서버를 위한 사이버 보안 는 민감한 데이터를 보호하고 네트워크 무결성을 유지하는 데 있어 매우 중요한 요소입니다. Akamai 팀은 NoaBot 바이너리를 식별하기 위해 맞춤화된 YARA 탐지 시그니처와 함께 침해 지표 목록을 GitHub 리포지토리에 선제적으로 공유했습니다.

이러한 리소스를 활용하는 것 외에도 조직은 표준 SSH 강화 관행을 채택할 것을 강력히 권장합니다. 여기에는 신뢰할 수 있는 IP 주소로 SSH 액세스를 제한하고 사전 공격에 대한 효과적인 조치인 키 기반 인증을 구현하는 것이 포함됩니다.


결론


사이버 보안 환경은 계속 진화하고 있습니다,
미라이 노아봇 사이버 위협은 은 선제적 방어 조치의 중요성을 강조합니다. 이러한 봇넷이 사용하는 전술을 이해하고 모범 사례를 채택함으로써 조직은 무단 액세스, 데이터 유출 및 잠재적 중단으로부터 시스템을 강화할 수 있습니다. 경계, 지속적인 모니터링, 보안 프로토콜 준수는 끊임없이 진화하는 IoT 디바이스 보안 위험으로부터 보호하는 데 있어 가장 중요한 요소입니다. IoT 디바이스 보안 위험.

조직은 암호화폐 채굴에 대한 새로운 암호화폐 채굴의 악의적인 활동 탐지 및 예방을 위해 사용 가능한 리소스를 활용해야 합니다. 또한 다음과 같은 사항도 고려해야 합니다. 자동화된 패치 솔루션 을 통해 다운타임을 최소화하고 강력한 보안 프로토콜을 보장해야 합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스CSO.

 

요약
미라이 노아봇: 암호화폐 채굴 위협으로부터 서버 보호
기사 이름
미라이 노아봇: 암호화폐 채굴 위협으로부터 서버 보호
설명
SSH 서버를 표적으로 삼는 미라이 노아봇에 대한 최신 정보를 알아보세요. 암호화폐 채굴 위협으로부터 시스템을 보호하는 방법을 알아보세요. 지금 보호하세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기