2016년에 처음 발견된 Mirai 봇넷은 전례 없는 수의 장치를 장악하고 인터넷에 막대한 피해를 입혔습니다. 이제 다시 돌아왔고 그 어느 때보다 위험해졌습니다.
목차
새롭고 향상된 Mirai가 더 많은 장치를 감염시키고 있습니다.
2019년 3월 18일, 보안 연구원들은 팔로 알토 네트웍스 Mirai가 동일한 목표를 더 큰 규모로 달성하기 위해 조정 및 업데이트되었다고 밝혔습니다. 연구원들은 Mirai가 11개의 새로운 내보내기(총 27개로 증가)와 시도할 기본 관리자 자격 증명의 새로운 목록을 사용하고 있음을 발견했습니다. 일부 변경 사항은 LG Supersign TV 및 WePresent WiPG-1000 무선 프레젠테이션 시스템을 포함한 비즈니스 하드웨어를 대상으로 합니다.
Mirai는 비즈니스 하드웨어를 인수하고 비즈니스 네트워크를 장악할 수 있다면 훨씬 더 강력할 수 있습니다. Palo Alto Networks의 수석 위협 연구원인 Ruchna Nigam은 다음과 같이 말했습니다. 넣어:
이러한 새로운 기능은 봇넷에 큰 공격 표면을 제공합니다. 특히 엔터프라이즈 링크를 대상으로 하면 더 큰 대역폭에 액세스할 수 있으므로 궁극적으로 DDoS 공격에 대한 봇넷의 화력이 더 커집니다.
Miria의 이 변종은 소비자 라우터, 카메라 및 기타 네트워크 연결 장치를 계속 공격합니다. 파괴적인 목적을 위해 감염된 장치가 많을수록 좋습니다. 다소 아이러니하게도 악성 페이로드는 “전자 보안, 통합 및 경보 모니터링”을 다루는 비즈니스를 홍보하는 웹사이트에서 호스팅되었습니다.
Mirai는 IOT 장치를 공격하는 봇넷입니다.
기억나지 않는다면 2016년에는 Mirai 봇넷이 도처에 있었던 것 같습니다. 라우터, DVR 시스템, IP 카메라 등을 대상으로 했습니다. 이들은 종종 사물 인터넷(IoT) 장치라고 하며 인터넷에 연결하는 온도 조절기와 같은 간단한 장치를 포함합니다. 봇넷은 컴퓨터 및 기타 인터넷 연결 장치 그룹을 감염시킨 다음 감염된 컴퓨터가 시스템을 공격하거나 조정된 방식으로 다른 목표를 수행하도록 하는 방식으로 작동합니다.
Mirai는 아무도 변경하지 않았거나 제조업체가 하드코딩했기 때문에 기본 관리자 자격 증명을 사용하는 장치를 찾았습니다. 봇넷은 수많은 장치를 장악했습니다. 대부분의 시스템이 그다지 강력하지 않더라도 작업한 숫자만으로도 강력한 좀비 컴퓨터가 단독으로 수행할 수 있는 것보다 더 많은 것을 달성할 수 있습니다.
Mirai는 거의 500,000개 이상의 장치를 인수했습니다. Mirai는 IoT 장치의 이 그룹화된 봇넷을 사용하여 DNS 공급자를 직접 대상으로 지정하여 Xbox Live 및 Spotify와 같은 서비스와 BBC 및 Github와 같은 웹사이트를 손상시켰습니다. 감염된 시스템이 너무 많기 때문에 Dyn(DNS 제공자)은 1.1테라바이트의 트래픽을 본 DDOS 공격에 의해 중단되었습니다. DDOS 공격은 대상이 처리할 수 있는 것보다 더 많은 양의 인터넷 트래픽으로 대상을 플러딩하여 작동합니다. 이렇게 하면 피해자의 웹사이트나 서비스가 크롤링되거나 인터넷에서 완전히 차단됩니다.
Marai 봇넷 소프트웨어의 원래 제작자는 체포, 유죄 인정, 집행유예. 잠시 동안 Mirai는 폐쇄되었습니다. 그러나 다른 악의적인 행위자들이 Mirai를 인수하여 필요에 맞게 변경하기에 충분한 코드가 남아 있습니다. 이제 Mirai의 또 다른 변형이 있습니다.
미라이로부터 자신을 보호하는 방법
Mirai는 다른 봇넷과 마찬가지로 알려진 익스플로잇을 사용하여 장치를 공격하고 손상시킵니다. 또한 알려진 기본 로그인 자격 증명을 사용하여 장치에서 작업하고 인계하려고 합니다. 따라서 세 가지 최상의 보호 라인은 간단합니다.
집이나 직장에 있는 인터넷에 연결할 수 있는 모든 항목의 펌웨어(및 소프트웨어)를 항상 업데이트하십시오. 해킹은 고양이와 쥐 게임이며 연구원이 새로운 익스플로잇을 발견하면 문제를 수정하기 위한 패치가 뒤따릅니다. 이와 같은 봇넷은 패치되지 않은 장치에서 번창하며 이 Mirai 변종도 다르지 않습니다. 비즈니스 하드웨어를 표적으로 하는 익스플로잇은 지난 9월과 2017년에 확인되었습니다.
가능한 한 빨리 장치의 관리자 자격 증명(사용자 이름 및 암호)을 변경하십시오. 라우터의 경우 라우터의 웹 인터페이스 또는 모바일 앱(있는 경우)에서 이 작업을 수행할 수 있습니다. 기본 사용자 이름 또는 암호로 로그인하는 다른 장치의 경우 장치 설명서를 참조하십시오.
관리자, 비밀번호 또는 빈 필드를 사용하여 로그인할 수 있는 경우 이를 변경해야 합니다. 새 장치를 설정할 때마다 기본 자격 증명을 변경해야 합니다. 이미 장치를 설정하고 암호 변경을 게을리했다면 지금 하십시오. Mirai의 이 새로운 변종은 기본 사용자 이름과 암호의 새로운 조합을 대상으로 합니다.
장치 제조업체에서 새 펌웨어 업데이트 출시를 중단했거나 관리자 자격 증명을 하드코딩했는데 변경할 수 없는 경우 장치 교체를 고려하십시오.
확인하는 가장 좋은 방법은 제조업체의 웹사이트에서 시작하는 것입니다. 장치에 대한 지원 페이지를 찾아 펌웨어 업데이트에 관한 모든 알림을 찾습니다. 마지막 버전이 언제 출시되었는지 확인하세요. 펌웨어 업데이트 이후 몇 년이 지난 경우 제조업체에서 더 이상 장치를 지원하지 않을 수 있습니다.
장치 제조업체의 지원 웹 사이트에서도 관리 자격 증명을 변경하는 지침을 찾을 수 있습니다. 최신 펌웨어 업데이트나 장치의 암호를 변경하는 방법을 찾을 수 없다면 장치를 교체해야 할 때입니다. 영구적으로 취약한 무언가를 네트워크에 연결한 상태로 두고 싶지 않습니다.
찾을 수 있는 최신 펌웨어가 2012년이면 장치를 교체해야 합니다.
장치를 교체하는 것이 과감해 보일 수 있지만 취약한 경우 최선의 선택입니다. Mirai와 같은 봇넷은 사라지지 않습니다. 기기를 보호해야 합니다. 또한 자신의 장치를 보호함으로써 인터넷의 나머지 부분도 보호할 수 있습니다.