미라이 봇넷 개요: 위협 개요, 분석 및 대응 조치

유명한 교수의 명언 “좋은 소식입니다!”가 최근 사건에 맞게 잘 어울릴 것입니다. 사물 인터넷 의 세상이 디지털 세계 전반에 걸쳐 큰 소동을 일으켰으며, Mirai 봇넷이 그 악명 높은 하수인 중 하나였기 때문입니다. 깨진 풍자 감지기 이전: 상황은 실제로 긴장된 상황입니다. 보안 분야의 평판이 좋은 연구원들은 우리가 자정까지 2분 남은 상태에 있다고 믿습니다 자정입니다. 그럼에도 불구하고, 저는 몇 가지 관련된 사실, 분석 및 보안 분야의 친구들과 우리 보안 팀이 포렌식 및 사고 탐지에 대한 배경을 바탕으로 도출한 결론을 빠르게 공유하여 시간을 절약해 드리겠습니다.

타임라인: 지난 8월, Flashpoint는 Level 3 위협 연구실과 함께 실제로 예측했습니다. 사물의 공격이 발생할 것이라는 것을 그리고 그것은 단지 시간 문제일 뿐입니다. 10월에, Mirai의 소스 코드 가 공개되었습니다. 현재까지 Mirai와 관련된 공격으로 확인된 것에는 라이베리아 전체의 인터넷 접근 차단 시도, a Brian Krebs에 대한 620+ GB DDoS, 미국 선거 기간 동안의 DDoS, Dyn 공격 이 대규모 인터넷 중단을 일으켰고, 이제는 Deutsche Telekom의 900K 이상의 라우터와 관련된 사건이 있었습니다.

공격 벡터는 진화하고 있으며 DDoS 봇넷도 진화하고 있습니다 MalwareTech의 Mirai 사례 연구에서 설명된 대로 입니다. 2016년이 거의 끝나가고 있지만, 명백한 텍스트 프로토콜을 사용하는 장치 수는 여전히 많으며, 초기 손상은 누출된 하드 코딩된 자격 증명이 있는 분산 텔넷 포트 스캔으로 시작되었습니다. 이후 SSH 스캔으로 진화했으며, 물론 다른 무차별 대입 기법도 추가되었습니다. Mirai 봇넷 활동은 계속 나타나고 있으며, 이는 운영 중이라는 의미입니다. 누군가 자본을 쥐고 있으며 더 정교한 기법에 투자할 수 있습니다. 명확한 예로 독립 보안 연구자 켄조가 자신의 블로그에 공유한 개념 증명 익스플로잇 과 BadCyber에 의해 공개된 공격 및 익스플로잇에 대한 더 많은 정보가 있습니다. 이러한 익스플로잇의 주된 원인은 IoT 제조업체가 사용하는 “최고의” 관행인 하드코딩된 비밀번호 및 기타 멋진 기능 때문이며, 이미 배포된 모든 IoT 장치를 패치하는 것이 얼마나 “쉬운지” 모두 알고 있습니다. kenzo의 게시물 이후 한 달 안에, 모뎀 공급업체는 다르지만 동일한 기법과 목적으로 보이는 익스플로잇을 활용하여 Deutsche Telekom 라우터에 대한 공격이 나타났습니다. 11월 28일 공격 당시의 일부 인용문:^th “Mirai 봇넷 공격이 독일에서 표면화되었으며 어젯밤과 오늘 Telekom의 90만 라우터 이상을 공격했으며, 우리가 바쁜 Linux 유형 IoT/장치로 추정하는 것을 대상으로 하고 있습니다. 이 경우 라우터였습니다.”

HakDefNet, 2016년 11월 28일

“Deutsche Telekom 라우터를 대량으로 악용하는 봇넷은 라이베리아 ISP DDoS를 책임졌던 것과 동일한 것입니다.”

MalwareTech, 2016년 11월 28일

MalwareTech에 대해 말하자면, Mirai 연결이 실시간으로 표시되는 지도도 있습니다:”

Speaking of MalwareTech, there’s a live map of Mirai connections available:

실시간 추적기에 의해 제공된 데이터에 대한 빠른 OSINT 분석은 GEO 태그와 시간 창 필터링을 통해 문제의 심각성을 다시 한 번 확인하였으며, 전 세계적으로 93K+개의 활성 (손상된) 장치가 있음을 확인합니다.IP를 일별로 집계하면, 전체 봇넷 크기가 현재 감소하고 있음을 알 수 있지만, 이 이야기가 끝났다고 보기에는 이릅니다. 새로운 공격 방법이 계속해서 나오고 있기 때문입니다. 새로운 IP의 양은, 가정용 IoT 장치에서 가장 흔한 것으로, 유동 주소 공간을 고려해야 하므로 신뢰하기 어렵습니다.11월 24일^th 우리는 ETC (Emergency Threat Counter) Mirai 탐지를 위한 SIEM 사용 사례 를 ArcSight, QRadar 및 Splunk에 대해 게시했으며, 이는 HakDefNet 친구들이 제공한 무료 위협 인텔리전스 샘플을 기반으로 한 것입니다. 우리는 계속해서 동료와 접촉하고 있으며, 그들은 이미 Mirai의 일부로 확인되었거나 공격 가능한(손상된?) 100만 개 이상의 IP를 보고하고 있습니다.

탐지 및 대응 권장사항

SOC 사용 사례.명확한 텍스트 프로토콜의 사용 모니터링, 포트당 트래픽 급증, 포트 스캔 탐지 및 모든 기술 스택에서의 무차별 대입 탐지를 강력히 권장합니다.통신 및 ISP에 대한 완화 조치.조직에서 관리하는 손상된 장치를 패치하십시오. 관리 포트에 대한 원격 액세스를 위한 ACL을 구현하십시오(관리자의 IP만 액세스를 허용하십시오). 이와 함께 관리 워크스테이션의 보안을 확인하십시오(마지막으로 침투 테스트 또는 보안 감사는 언제 받았습니까? 예고 없이 하나 수행하십시오). 그리고 명백한 조언 한 가지: 비밀번호를 변경하십시오!모든 조직.기업 네트워크에 Mirai에 감염된 장치가 있는지 확인하십시오. 당신은 Mirai 탐지를 위한 ETC 를 사용하여 https://ucl.socprime.com에서 사용할 수 있으며, 또는 네트워크에서 공개된 장치를 찾기 위해 직접 7547 포트에 대해 포트 스캔을 실행할 수 있습니다. 손상된 자산을 찾는 또 다른 방법은 Shodan 엔진을 활용하는 것입니다 없이 및 등록 필요 (예제는 아일랜드에서 인터넷에서 7547 포트로 접근 가능한 IP 검색입니다).보안 인식.지금이 IoT 보안을 위한 8가지 최선의 관행을 Layer3에서 확인해야 할 때입니다최종 고객에게 위협에 대해 알리고 위의 링크를 포함시키십시오. 모든 보안 및 개인 정보에 민감하고 기술적으로 능숙한 사용자는 스스로 IoT를 안전하게 관리할 수 있습니다(펌웨어 업데이트, 포트 및 서비스 닫기). 이는 그 어떤 전자 메일 캠페인 자동화 플랫폼에서도 할 수 있는 매우 간단하고 저비용의 솔루션입니다.

/안전하게 지내세요