dyn-ddos-attack-diagram_02.png

19년도 정보보안기사 필기문제로 출제된 미라이 봇넷의 관련 기사를 읽고 내용을 정리해 봤습니다.

1. 미라이 봇넷이란?

보안이 취약한 IOT 장치를 대상으로 구성한 좀비 네트워크 집단

(미라이는 이름은 기술적 이름같은 것이 아니라, 이 악성코드를 작성한 해커가 본인이 좋아했던 애니메이션 이름을 단순히 따와 악성코드의 이름으로 붙인 것이라 함)

2. 미라이 봇넷 악성행위 목적

감염된 봇넷(감염된 다수의 lot 장비 집단)을 이용해 특정 서버에 DDOS 공격을 수행하거나 특정 비트코인 채집을 위한 연산 자원으로 이용

3. 미라이 봇넷의 공격구현 과정

IOT 장치를 대량으로 감염시켜 봇넷 네트워크를 구성

무작위 IOT장치들에대한 사전식 전사공격을 수행
(대부분의 사람들이 Lot장치의 관리자 ID와 PW를 공장출시 상태에서 변경하지않고 사용하고있다는 점을 이용)

해당 방식으로 관리자 권한을 얻은 IOT 장치에 BusyBox 툴을 삽입하여 악성코드의 로직을 수행

4. 특정단어 정리

단어 설명
사전식 전사공격 (초기값) ID/ PW를 미리 구성해놓고 구성한 값들을 무작위로 대입하면서 공격
DDOS 공격 특정서버에 수많은 접속시도를 만들어 시스템 자원을 부족하게하여, 정상적인 서비스를 행하지 못하게 방해하는 공격수법 분산서비스 거부 공격 - Distributed Dos
봇넷 인터넷에 연결되어있으며 악성코드에 감염된 장치들의 집합을 뜻함
Iot 장치 CCTV, TV , 셋탑박스, 공유기와 같이 간단한 프로세싱 능력을 가지고 있으며(CPU의 존재) 인터넷에 연결가능한 장치
BusyBox 툴 리눅스 및 유닉스 운영체제에 사용할 수 있는 명령어들을 구현해놓은 모음집

5. 추가적인 설명

Iot 장치들의 경우 복잡한 연산을 필요로 하지 않기에 대부분 간소한 리눅스 운영체제 기반으로 가장 디폴트적인 명령어들만 올려져있는 상태이다. 따라서 미라이 봇넷의 악성코드 로직을 구현하기에는, 보통 대상 장치의 OS 명령어가 부족한 경우가 많다. 이에 공격자는 BusyBox툴을 먼저 해당 장치에 삽입하고 , 해당 툴을 이용해 공격에 필요한 명령어들을(Wget 등) 불러와 악성코드 로직을 완벽히 구현하게끔 한다. 위 과정을 모두 끝내고 완벽히 준비된 감염장치들은 공격자의 C&C 서버에 접속되며, 공격자가 원하는 시점에 특정서버로의 DDOS 공격을 바로 수행할 수 있게 끔 공격준비상태에서 대기하고 있게 된다


참고글

보안뉴스 https://www.boannews.com/media/view.asp?idx=58611&page=2&kind=1