MikroTik botnet relies on DNS misconfiguration to spread malware
MikroTik botnet relies on DNS misconfiguration to spread malware
Researchers discovered a 13,000-device MikroTik botnet exploiting DNS flaws to spoof 20,000 domains and deliver malware.
securityaffairs.com
- 사건 개요
- 약 13,000개의 MikroTik 라우터로 구성된 봇넷이 DNS 설정 오류를 악용하여 20,000개 도메인을 스푸핑하고 악성코드를 유포
- 악성 이메일 캠페인을 통해 악성코드를 배포하며, 이메일 보호 체계를 우회
- 공격 메커니즘
- 악성 이메일 캠페인
- DHL을 사칭하여 "Invoice###.zip" 또는 "Tracking###.zip" 파일 첨부
- ZIP 파일 내 난독화된 JavaScript 파일 포함
- JavaScript 파일이 PowerShell 스크립트를 실행하여 C2 서버에 연결
- C2 서버: 62.133.60[.]137 (과거 러시아 관련 활동 기록 존재)
- MikroTik 라우터 악용
- SOCKS 프록시로 설정하여 악성 트래픽의 출처를 은폐
- 인증 없이 프록시를 사용할 수 있어 제3자가 봇넷을 악용 가능
- 다양한 공격 가능: DDoS, 피싱, 악성코드 유포, C2 운영 확장
- DNS 설정 오류 악용
- SPF(Sender Policy Framework) 설정 오류로 도메인 스푸핑 가능
- 올바른 SPF 설정: 특정 서버만 이메일 전송 허용 (예:
v=spf1 include:example.com -all) - 잘못된 SPF 설정: 모든 서버가 이메일 전송 가능 (
+all)
- 악성 이메일 캠페인
- 취약점 원인
- DNS SPF 레코드의 부적절한 구성
- 실수로 인한 설정 오류 또는 도메인 등록 계정에 대한 공격자의 접근 가능성
- MikroTik 라우터의 기존 취약점 악용
- 원격 코드 실행(RCE) 등 다수의 보안 취약점 존재
- DNS SPF 레코드의 부적절한 구성
- 보안 권고
- SPF 레코드 설정 점검
- DNS 레코드의 SPF 설정을 정기적으로 감사하고,
+all과 같은 잘못된 설정 제거
- DNS 레코드의 SPF 설정을 정기적으로 감사하고,
- 라우터 보안 강화
- MikroTik 라우터의 최신 펌웨어 업데이트
- 외부 네트워크에서 라우터 접근을 제한
- 트래픽 모니터링
- 비정상적인 트래픽 패턴 및 프록시 설정 활성화 여부 확인
- 이메일 보안 강화
- 이메일 필터링 정책 개선 및 의심스러운 첨부파일 자동 차단
- 조직 내 피싱 방지 교육 강화
- 정기 보안 감사
- 네트워크와 DNS 설정의 보안 상태 점검 및 수정
- SPF 레코드 설정 점검
- 결론 및 시사점
- DNS 설정 오류와 IoT 기기의 보안 취약점이 결합되어 대규모 봇넷 운영 가능성을 제공
- 조직은 네트워크 보안 및 DNS 설정을 철저히 점검하고, IoT 장치에 대한 정기적인 보안 업데이트와 모니터링이 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| CISA의 Microsoft Expanded Cloud Logs Implementation Playbook 발표 (0) | 2025.01.26 |
|---|---|
| Python 기반 RansomHub 랜섬웨어: 네트워크 취약점 악용 (1) | 2025.01.26 |
| 이미지에 숨겨진 악성코드: VIP Keylogger 및 0bj3ctivity Stealer 배포 (0) | 2025.01.26 |
| 개인정보위, AI 개발을 위한 원본 데이터 활용 허용 및 규제 완화 추진 (1) | 2025.01.26 |
| 생성형 AI 시대, 경력 성장을 위한 필수 온라인 강의 (0) | 2025.01.26 |