신규 IoT 봇넷, 대규모 DDoS 공격 감행…일본 및 글로벌 기업 대상

New IoT Botnet Launches large-scale DDoS attacks Hijacking IoT Devices

New IoT Botnet Launches large-scale DDoS attacks Hijacking IoT Devices

 

• IoT 봇넷을 이용한 대규모 DDoS 공격 발생
  • 2024년 말부터 일본 및 글로벌 기업을 대상으로 공격 감행
  • 대상 기업: 일본 주요 대기업 및 금융기관 포함
  • 일부 기업에서 네트워크 장애 및 접속 지연 발생 보고
• IoT 봇넷의 동작 방식
  • Mirai/Bashlite 기반 악성코드 활용
    • 원격 코드 실행(RCE) 취약점 및 약한 비밀번호(Weak Credentials)를 이용해 IoT 기기 감염
    • 악성 스크립트를 다운로드하여 로더(Loader) 실행 파일을 배포 서버에서 가져옴
    • 특정 User-Agent 헤더를 사용해 악성코드를 서버에서 로드하여 실행
    • 감염 후 C&C(Command & Control) 서버와 통신하여 공격 명령 수신
  • DDoS 공격 수행 및 프록시 서버로 변환
    • SYN Flood, TCP ACK Flood, UDP Flood 등 다양한 DDoS 기법 활용
    • 감염된 장비를 프록시 서버로 변환하여 추가 공격 수행
• 회피 기법 및 은폐 전략
  • 시스템 재시작 방지
    • DDoS 공격 중 시스템 과부하로 인한 재시작을 방지하기 위해 Watchdog Timer 비활성화
  • 네트워크 탐지 방해
    • iptables 규칙을 조작하여 감염 탐지 및 공격 가시성 차단
    • WAN 측 TCP 연결 차단하여 교차 감염 방지 및 내부 관리 접속 유지
    • UDP 패킷 허용 및 TCP RST 패킷 차단하여 공격 활동 숨김
• 공격 대상 및 패턴 분석
  • 2024년 12월 27일부터 2025년 1월 4일까지 주요 DDoS 공격 발생
  • 공격 지역
    • 일본, 미국, 바레인, 폴란드 등 글로벌 공격 확대
  • 공격 명령어 패턴
    • 일본 대상: "stomp" 명령어 빈번 사용
    • 글로벌 대상: "gre" 명령어 주로 사용
    • 일본 방어 강화 이후 "socket", "handshake" 등 신규 명령 테스트
  • 주요 타겟 산업
    • 일본: 운송, 정보통신, 금융 및 보험
    • 국제: 정보통신, 금융 및 보험 (운송 산업 제외)
• 감염된 IoT 장비 분석
  • 총 348대 기기 감염
  • 80%가 무선 라우터(TP-Link, Zyxel 등)
  • Hikvision IP 카메라도 상당한 비중 차지
  • 기기 감염 원인
    • 기본 설정(Default Credentials) 유지
    • 펌웨어 업데이트 부족
    • 보안 기능 미비
• 보안 권고
  • IoT 기기 보안 강화
    • 기본 비밀번호 변경 및 강력한 인증 정책 적용
    • 정기적인 펌웨어 업데이트 및 보안 패치 적용
    • IoT 네트워크 분리(Segmentation) 및 최소 권한 원칙 적용
  • DDoS 공격 완화 조치
    • UDP Flood 공격 차단을 위한 특정 IP 및 프로토콜 차단
    • 서비스 제공업체(ISP)와 협력하여 공격 트래픽 필터링
    • 고성능 라우터 및 방화벽 활용하여 공격 방어 강화
  • 네트워크 모니터링 및 이상 탐지
    • 비정상 트래픽 감지 및 실시간 경고 시스템 구축
    • 프록시 트래픽 및 C&C 서버와의 통신 여부 지속 모니터링