XorDDoS 악성코드 인프라의 진화와 다계층 DDoS 봇넷의 위협

Experts Uncover New XorDDoS Controller, Infrastructure as Malware Expands to Docker, Linux, IoT

 

XorDDoS Malware Upgrade Enables Creation of Advanced DDoS Botnets

XorDDoS Malware Upgrade Enables Creation of Advanced DDoS Botnets

 

• XorDDoS 개요 및 활동 확산
  • XorDDoS는 리눅스 기반 시스템을 겨냥한 10년 이상 된 DDoS 악성코드로, 2023년부터 2025년까지 미국을 중심으로 공격이 급증
  • Cisco Talos에 따르면 전체 공격 중 약 71.3%가 미국을 표적, 감염 기기는 26개국에 분포하며 미국(49.3%), 중국(6.2%), 인도(4.1%) 순
  • 초기 접근은 SSH 무차별 대입 공격(Brute-force)을 통해 이루어지며, 감염된 시스템에 cron job, init 스크립트 삽입으로 지속성 확보
• 악성코드 기술 내역 및 취약 경로
  • 감염 후 내부에 암호화된 C2 구성값이 존재하며, XOR 키 BB2FA36AAA9541F0로 복호화하여 C2 서버에 연결
  • Docker 환경으로 타겟을 확장하며, 리눅스 서버 및 IoT 기기까지 감염 범위 확대
  • 최신 버전은 컨트롤러, 서브컨트롤러, 봇 간 통신을 CRC 헤더 기반의 암호화된 3단계 프로토콜로 구성
• VIP 컨트롤러 및 중앙 지휘 구조
  • 2024년 등장한 “VIP 버전” XorDDoS 컨트롤러는 “1024 패킷 전송”, “방화벽 우회 최적화” 등 고급 기능 제공
  • 중앙 컨트롤러는 다수의 서브컨트롤러를 동시에 관리, 각 서브컨트롤러는 다수의 봇넷 기기를 통제
  • DLL 인젝션 기반 컨트롤 바인더를 활용하여 원격 명령을 배포하며, 공격 패턴은 라운드 로빈 방식으로 스케줄링되어 효율적
• 운영자 추정 및 인프라 특징
  • Talos 분석에 따르면 컨트롤러 언어 및 바이너리 내 Tencent QQ 정보 등으로 미루어 중국어 사용자 기반 운영자 추정
  • Underground 마켓에서 기술 지원까지 포함한 유료 도구로 유통 중
  • SYN flood 방식의 공격에서 1024바이트 최적화 패킷 활용, 평균 12.7Gbps 대역폭의 DDoS 공격 수행 가능
• 탐지 및보안 권고
  • 탐지 가능 지표
    • XOR 키 BB2FA36AAA9541F0의 지속 사용
    • 바인더 통신의 비암호화 네트워크 패턴
    • CRC 헤더 기반의 “phone home” 비콘 트래픽
  • 보안 권고
    • SSH 접속 제어: 공개 포트 제한 및 강력한 인증 정책 적용
    • Docker 보안 모니터링: Docker runtime 내 프로세스 감시 및 접근 통제
    • 네트워크 분석 강화: CRC-header 기반 트래픽 이상 징후 모니터링
    • 봇넷 확산 차단을 위한 IP세트 기반 접근 제어 및 통계 기반 분석
• 결론
  • XorDDoS는 단순 DDoS 도구가 아닌 정교한 지휘 인프라와 고급 기술을 갖춘 다계층 봇넷 플랫폼으로 진화
  • 공격자 중심의 마켓 유통과 기술 고도화 흐름은 기업의 클라우드·IoT 환경 전반에 걸친 보안 강화 필요성을 시사
  • 공격 탐지와 대응은 네트워크 계층의 분석 능력, 프로세스 통제 정책, 보안 가시성 확보를 병행하여 구성해야 함