
연구원들은 사이버 범죄에 사용되는 트래픽을 익명으로 전달하는 프록시 네트워크에 징집된 14,000개의 라우터 및 기타 네트워크 장치(주로 Asus에서 제작)로 구성된 게시 중단 방지 봇넷을 발견했다고 밝혔습니다.
보안 회사 Lumen의 Black Lotus Labs 연구원인 Chris Formosa는 KadNap이라고 불리는 이 악성 코드는 소유자가 패치하지 않은 취약점을 악용하여 장악했다고 Ars에 말했습니다. Asus 라우터의 집중도가 높은 이유는 봇넷 운영자가 해당 모델에 영향을 미치는 취약점을 안정적으로 악용할 수 있기 때문일 가능성이 높습니다. 그는 공격자들이 작전에 제로데이를 사용할 가능성은 거의 없다고 말했습니다.
다른 봇넷보다 눈에 띄는 봇넷
감염된 라우터의 수는 하루 평균 약 14,000개로, Black Lotus가 봇넷을 발견한 지난 8월 10,000개에서 증가했습니다. 손상된 장치는 미국에 압도적으로 위치하고 있으며 대만, 홍콩 및 러시아에는 인구가 더 적습니다. KadNap의 가장 눈에 띄는 기능 중 하나는 명령 및 제어 서버의 IP 주소를 숨기기 위해 분산 해시 테이블을 사용하는 네트워크 구조인 Kademlia를 기반으로 한 정교한 P2P 설계입니다. 이 설계는 봇넷이 기존 방법을 통한 탐지 및 제거에 저항하도록 만듭니다.
Formosa와 동료 Black Lotus 연구원인 Steve Rudd는 수요일에 “KadNap 봇넷은 분산 제어를 위해 P2P 네트워크를 사용하는 데 있어 익명 프록시를 지원하는 다른 봇넷 중에서 가장 두드러집니다.”라고 썼습니다. “그들의 의도는 분명합니다. 탐지를 피하고 방어자가 보호하기 어렵게 만드는 것입니다.”
분산 해시 테이블은 오랫동안 강화된 P2P 네트워크, 특히 BitTorrent 및 Inter-Planetary File System을 만드는 데 사용되었습니다. 노드를 직접 제어하고 다른 노드의 IP 주소를 제공하는 하나 이상의 중앙 집중식 서버를 보유하는 대신 DHT를 사용하면 모든 노드가 찾고 있는 장치나 서버에 대해 다른 노드를 폴링할 수 있습니다. 분산형 구조와 IP 주소를 해시로 대체하면 게시 중단이나 서비스 거부 공격에 대한 네트워크 탄력성이 제공됩니다.