2024년 말부터 지속된 IoT 봇넷 기반 대규모 DDoS 공격 분석

IoT Botnet Linked to Large-scale DDoS Attacks Since the End of 2024

IoT Botnet Linked to Large-scale DDoS Attacks Since the End of 2024

 

• 공격 개요
  • 2024년 말부터 IoT(사물인터넷) 봇넷을 이용한 대규모 DDoS 공격 지속 감지
  • 주요 공격 대상: 일본 및 글로벌 기업, 금융기관
  • 공격 방식: 취약한 IoT 장비(무선 라우터, IP 카메라 등)를 악용하여 DDoS 공격 수행
  • 봇넷의 C&C(Command and Control) 서버를 통해 공격 명령 실행
  • Mirai 및 Bashlite(aka Gafgyt, Lizkebab) 기반 악성코드 변종 활용
• 봇넷 감염 과정
  • 취약점(RCE, 원격 코드 실행) 및 약한 초기 패스워드를 이용한 감염
  • 1단계: 감염 후 다운로드 스크립트 실행하여 추가 악성코드 다운로드
  • 2단계: 실행 파일(로더) 다운로드 및 메모리에서 실행하여 흔적 제거
  • 3단계: C&C 서버에 연결하여 DDoS 공격 명령 대기 및 실행
• 공격 명령 분석
  • 봇넷이 실행하는 주요 공격 유형
    • SYN Flood, ACK Flood, UDP Flood, GRE 기반 DDoS 공격
    • SOCKS 프록시 기능을 이용한 네트워크 우회
    • 명령 실행 및 악성코드 업데이트 기능 포함
  • 특정 국가 및 산업군을 대상으로 명령 패턴 차이 발견
    • 일본 대상 공격에서는 Stomp(텍스트 기반 프로토콜 공격) 비율이 21%로 높음
    • 국제 대상 공격에서는 GRE(라우터 터널링 프로토콜 공격) 비율이 16%로 증가
    • 특정 기업을 대상으로 다중 공격 기법을 혼합하여 사용
• 공격 대상 및 산업 분석
  • DDoS 공격의 주요 표적
    • 미국(17%), 바레인(10%), 폴란드(9%) 등 북미 및 유럽 집중 공격
    • 일본: 금융, 통신, 운송 산업군을 주요 타겟으로 확인
    • 국제: 정보통신 산업(34%)이 최다 공격 대상
  • 공격에 사용된 장비
    • 무선 라우터(80%)와 IP 카메라(15%)가 주된 봇넷 장비
    • 브랜드별 분석
      • TP-Link(52%), Zyxel(20%) 라우터
      • Hikvision(12%) IP 카메라
    • 주요 감염 국가: 인도(57%), 남아프리카공화국(17%)
• 봇넷 악성코드 특성
  • Watchdog Timer 비활성화
    • DDoS 공격 중 장비 과부하로 인한 자동 재부팅 방지
  • iptables 명령어 악용
    • WAN에서의 TCP 연결 차단하여 탐지 회피
    • C&C 서버 통신 허용
    • UDP 포트 포워딩을 통한 트래픽 조작
• 보안 권고
  • IoT 보안 강화 조치
    • 기본 관리자 패스워드 변경 및 복잡한 암호 적용
    • 최신 펌웨어 및 보안 패치 정기 업데이트
    • 불필요한 원격 접속 및 포트 포워딩 기능 비활성화
    • IoT 장비를 별도 네트워크로 분리하여 보안 강화
  • DDoS 대응 기술 적용
    • UDP Flood 공격 대응: 방화벽 및 네트워크 필터링 강화
    • TCP SYN Flood 공격 대응: CDN 및 공격 트래픽 분산 처리
    • 이상 트래픽 탐지: IDS/IPS 적용 및 실시간 트래픽 모니터링
  • 보안 솔루션 활용
    • 보안 솔루션을 통해 C&C 서버와의 통신 차단
    • 공격 지표(IOCs) 기반 탐색 및 대응
• 결론
  • IoT 봇넷을 이용한 대규모 DDoS 공격이 물리적 국경을 초월하여 심각한 피해 초래
  • IoT 장비 보안 강화를 위한 체계적인 관리 및 패치 적용 필수
  • 공격자가 최신 IoT 취약점을 지속적으로 악용하므로 위협 인텔리전스 활용 필요
  • 기업 및 개인 사용자는 IoT 기기 보안 설정을 철저히 점검하고 네트워크 보호 조치를 강화해야 함