Muhstik 봇넷 탐지: 악명 높은 갱단, Redis 서버 공격으로 새로운 행동 양상 다시 등장
목차:
Muhstik 봇넷은 2018년부터 존재해 왔으며, 지속적으로 피해자의 지도를 확장하며 새로운 서비스와 플랫폼을 공격하고, 코인 채굴 활동, DDoS 공격 실행, 악명 높은 취약점 악용 등을 포함한 다양한 공격 범위를 확장하고 있습니다. Log4j Java 라이브러리에서 악용되고 있습니다. 이번에는 악명 높은 멀웨어 그룹이 Redis의 Lua 샌드박스 탈출 취약점(CVE-2022-0543)을 적극 악용하고 있습니다.
Muhstik 봇넷 공격 감지
최고 수준의 Threat Bounty 개발자 Emir Erdogan이 제공하는 다음 규칙을 통해 귀하의 시스템이 Muhstik 적에게 손상되었는지 감지하십시오. 이 규칙은 프로세스 생성 로그를 통해 Muhstik 봇넷의 다운로드 및 실행 시도를 감지합니다:
Muhstik 봇넷이 Redis 서버를 목표로 함 (프로세스 생성 통해)
이 탐지는 Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, Open Distro 플랫폼에 대한 번역이 있습니다.
이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, Acquire Infrastructure (T1583)와 Ingress Tool Transfer (T1105)를 주 기법으로 하는 자원 개발 및 Command and Control 전술을 다룹니다.
View All 버튼을 눌러 Muhstik 갱과 관련된 전체 탐지 목록을 확인하고 SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에서 사용할 수 있습니다.
산업 리더들과 연결하고 자신만의 콘텐츠를 개발하고 싶으신가요? SOC Prime의 크라우드소싱 이니셔티브에 콘텐츠 기고자로 참여하여 전 세계 사이버 보안 커뮤니티와 Sigma 및 YARA 규칙을 공유하면서 협력적 사이버 방어를 강화하세요.
Muhstik 봇넷 분석
Muhstik 갱은 새로운 Redis 샌드박스 탈출 결함을 이용하여 Debian, Ubuntu 및 기타 Debian 기반 배포판에서 Redis를 실행하는 사용자를 공격하고 있습니다. 문제가 된 취약점은 지난달 발견되었으며 CVE-2022-0543로 추적되고 있으며 심각도가 10점 만점에 10점으로 평가되었습니다. 패치는 Redis 패키지 버전 5.6.0.16.-1에서 사용할 수 있습니다.
클라이언트는 소켓을 통해 Redis 서버에 명령을 제공하며, 서버는 상태를 변경하여 응답합니다. Redis의 스크립팅 엔진은 Lua 프로그래밍 언어로 되어 있으며, eval 명령을 사용하여 액세스할 수 있습니다. Lua 엔진은 샌드박스로 보호해야 하며, 이는 클라이언트가 Lua에서 Redis API와 통신할 수 있어야 하지만 Redis가 실행되는 컴퓨터에서 임의 코드를 실행할 수 없어야 함을 의미합니다. CVE-2022-0543 결함은 적에게 임의의 Lua 스크립트를 실행하고 Lua 샌드박스를 탈출하여 대상 호스트에서 원격 코드 실행을 수행할 수 있게 합니다. 그리고 나서 Muhstik 해커들은 원격 서버에서 악성 셸 스크립트 “russia.sh”를 가져와 다른 서버에서 봇넷 바이너리(Muhstik 봇의 변형)를 다운로드하고 실행합니다.
참가 SOC Prime의 ‘Detection as Code’ 플랫폼에 참여하여 협력적 방어 접근 방식의 힘을 활용하고 반복적인 보상을 얻으세요. 또한 러시아의 우크라이나 침공 과 러시아로 소급되는 국가 지원 사이버 공격의 증가에 대비하여 SOC Prime은 탐지 가능한 대규모 무료 Sigma 규칙 을 Detection as Code 플랫폼에서 제공하고 있습니다. 이 규칙들은 러시아 지원 APT 조직의 악의적 활동을 탐지하는 데 도움을 주며, 관련 적대자의 가장 일반적인 전술, 기법, 절차(TTPs)를 포괄합니다.
