미라이 래퍼봇 악성코드, 온라인 게임 서버에 DDoS 공격

Fortinet 연구원들이 주목한 미라이 봇넷, “래퍼봇”이 IoT 장치를 감염시켜 온라인 게임 서버에 대한 DDoS 공격을 수행하는 새로운 캠페인을 통해 다시 등장했습니다.

Fortinet 연구원들은 작년 8월에 SSH(서버 소켓 셸) 무차별 대입 공격을 사용하여 리눅스 서버에 침투하는 것을 처음 발견했습니다.

연구원들은 래퍼봇넷의 활동을 추적하면서 이 봇넷이 2021년 5월부터 활동 중이었음을 발견했지만 그 목적은 해석하기 어려웠습니다.

새로운 변종은 원래 악성코드에서 사용된 방법에 더 가까운 텔넷 자가 전파 시스템을 사용합니다. 또한, 이번 캠페인의 이유는 이제 명확해졌으며, 새로운 변종의 DDoS 명령은 온라인 게임을 호스팅하는 서버에 대한 공격을 위해 맞춤화되었습니다.

게다가 Fortinet의 연구원들은 이전 캠페인에서 얻은 C2 명령 유물들을 통해 새로운 변종을 샘플링할 수 있었으며, 이는 봇넷의 기능 특성이 변경되지 않았음을 시사합니다.

읽기: 러시아의 사랑 해커 활동가들이 소니아 랜섬웨어로 우크라이나 조직을 공격

보안 회사의 분석가는 새로운 변종이 여러 가지 차이점을 가지고 있으며, 여기에는 이러한 명령을 통한 텔 브루트 포싱 지원이 포함되어 있다고 관찰했습니다!

• 등록(클라이언트에서 사용됨)
• 유지-활성화/아무것도 하지 않음
• 모든 DoS 공격 중지 및 클라이언트 종료
• DoS 공격 수행
• 모든 DoS 공격 중지
• 텔넷 브루트 포싱 재시작
• 텔넷 브루트 포싱 중지

현재 악성코드는 하드코딩된 목록에서 친숙한 약한 자격 증명을 사용하여 무차별 대입을 시도하는 반면, 이전에는 C2에서 가져왔습니다.

Fortinet은 무차별 대입 효과를 최적화하기 위해 래퍼봇이 서버 프롬프트 연결을 하드코딩된 문자열 목록과 비교하여 가능한 장치를 식별한 다음, 해당 장치에 대한 알려진 자격 증명만 시도한다고 추가했습니다.

따라서 고급 IoT 악성코드와 달리, 이는 래퍼봇이 전체 자격 증명 목록을 테스트하는 것을 피할 수 있게 하며, 자격 증명을 성공적으로 찾은 후 악성코드는 포트 5123을 통해 C2에 보고하고 식별된 장치 아키텍처에 대한 최신 버전의 주요 페이로드 바이너리를 수집하고 설치하려고 시도합니다.

현재 지원되는 아키텍처는 ARM, MIPS, PowerPC, SH4 및 SPARC입니다.

게다가 래퍼봇의 이전 버전은 매우 제한적이고 일반적이어서 분석가들은 공격자들이 초기 접근에 더 관심이 있을 것이라고 추측했지만, 최신 버전에서는 광범위한 DoS 공격 명령 세트의 포함으로 래퍼봇의 정확한 특성이 분명해졌습니다.

• 일반 UDP 플러드
• TCP SYN 플러드
• TCP ACK 플러드
• TCP STOMP 플러드
• GTA 산 안드레아스: 멀티 플레이어(SA:MP)를 실행하는 게임 서버를 대상으로 하는 UDP SA:MP 플러드
• GRE 이더넷 플러드
• GRE IP 플러드
• 일반 TCP 플러드

HTTP DoS 공격을 기반으로 할 때, 이 악성코드는 게임 서버에 대한 공격에 특화된 것으로 보입니다.

Fortinet은 이 공격이 GTA 산 안드레아스 멀티 플레이어(SA:MP) 모드에서 사용하는 GRE 프로토콜과 UDP 프로토콜에 대한 DoS 공격을 추가한다고 말했습니다.

보안 회사는 새로운 변종이 악성코드 소스 코드와 C2 통신 프로토콜에 대한 접근을 제안하며, 2021년 8월 이후로 무차별 대입 목록이 동일하다는 점에서 발견된 모든 래퍼봇 공격이 동일한 운영자에 의해 수행되고 있다고 믿고 있습니다.

읽기: 악성 확장 프로그램이 구글 크롬을 타격; 해커가 원격으로 제어할 수 있도록 허용