DDoS와 "PDoS"
1. DDoS (참조 용)
기존의 분산 서비스 거부 공격 (DDos)은 일부 애플리케이션 ( Mirai , LizardStresser , gafgyt 등)을 통해 제어되는 노드로 구성된 분산 시스템 (봇넷) 이 소비되는 DoS (서비스 거부) 공격입니다 . 목표 지점의 자원을 소진 지점까지 이에 대한 좋은 설명은 security.SE에 제공됩니다 .
Mirai 제어 봇넷이 서비스 거부를 달성하는 방법에 대한 설명은 Incapsula 의 분석 에서 찾을 수 있습니다 .
이 범주의 대부분의 맬웨어와 마찬가지로 Mirai는 다음 두 가지 핵심 목적으로 구축됩니다.
- 봇넷을 더욱 성장시키기 위해 IoT 장치를 찾아서 손상시킵니다.
- 원격 C & C에서 수신 한 지침에 따라 DDoS 공격을 시작합니다.
채용 기능을 수행하기 위해 Mirai는 광범위한 IP 주소 스캔을 수행합니다. 이러한 스캔의 목적은 쉽게 추측 할 수있는 로그인 자격 증명 (일반적으로 공장 기본 사용자 이름 및 비밀번호 (예 : 관리자 / 관리자))을 통해 원격으로 액세스 할 수있는 보안이 취약한 IoT 장치를 찾는 것입니다.
Mirai는 일명 사전 공격 인 암호를 추측하기 위해 무차별 대입 기술을 사용합니다.
Mirai의 공격 기능을 통해 HTTP 플러드 및 다양한 네트워크 (OSI 계층 3-4) DDoS 공격을 시작할 수 있습니다. HTTP 플러드를 공격 할 때 Mirai 봇은 다음 기본 사용자 에이전트 뒤에 숨어 있습니다.
네트워크 계층 공격의 경우 Mirai는 GRE IP 및 GRE ETH 플러드뿐만 아니라 SYN 및 ACK 플러드, STOMP (Simple Text Oriented Message Protocol) 플러드, DNS 플러드 및 UDP 플러드 공격을 시작할 수 있습니다.
이러한 유형의 봇넷은 제어 된 장치를 사용하여 대상 시스템으로 향하는 대량의 네트워크 트래픽을 생성하여 공격이 지속되는 동안 해당 시스템에서 제공 한 리소스에 액세스 할 수 없게함으로써 리소스가 소진됩니다. 공격이 중단되면 대상 시스템은 더 이상 리소스를 소모 할 때까지 소비하지 않으며 합법적 인 수신 클라이언트 요청에 다시 응답 할 수 있습니다.
2. "PDoS"
BrickerBot 캠페인은 근본적으로 다릅니다. 임베디드 시스템을 봇넷에 통합하는 대신 서버에 대한 대규모 공격을 조정하는 데 사용되는 임베디드 시스템 자체가 대상입니다.
BrickerBot "BrickerBot" 에 대한 Radware의 게시물에서 영구 서비스 거부 결과 :
피해자의 하드웨어가 작동하지 않도록 설계된 빠르게 움직이는 봇 공격을 상상해보십시오. 영구적 인 서비스 거부 (PDoS)라고 불리는이 형태의 사이버 공격은이 하드웨어 손상 공격과 관련하여 더 많은 사건이 발생함에 따라 2017 년에 점점 더 대중화되고 있습니다.
일부 서클에서는 느슨하게 "플래싱"이라고도하는 PDoS는 시스템을 심하게 손상시켜 하드웨어를 교체하거나 다시 설치해야하는 공격입니다. PDoS는 보안 결함이나 구성 오류를 이용하여 시스템의 펌웨어 및 / 또는 기본 기능을 파괴 할 수 있습니다. 이는 잘 알려진 사촌 인 DDoS 공격과 달리 의도하지 않은 사용을 통해 리소스를 포화시키는 요청으로 시스템에 과부하를가합니다.
영구 무능력 화를 목표로하는 임베디드 시스템에는 원격 제어를 위해 일부 응용 프로그램이 다운로드되지 않으며 봇넷 (강조 광산)의 일부가 아닙니다.
장치 손상
Bricker Bot PDoS 공격은 Mirai에서 사용 된 것과 동일한 공격 경로 인 Telnet brute force를 사용하여 피해자의 장치를 위반했습니다. Bricker는 바이너리 다운로드를 시도하지 않으므로 Radware에는 무차별 대입 시도에 사용 된 전체 자격 증명 목록이 없지만 처음 시도한 사용자 이름 / 암호 쌍이 지속적으로 'root'/ 'vizxv임을 기록 할 수있었습니다. '
장치 손상
장치에 성공적으로 액세스하면 PDoS 봇은 결국 스토리지 손상을 초래하는 일련의 Linux 명령을 수행 한 다음 인터넷 연결, 장치 성능 및 장치의 모든 파일 삭제를 방해하는 명령을 수행했습니다.
세 번째 차이점은이 캠페인에 수천 또는 수백만 대가 아닌 적은 수의 공격자 제어 장치가 포함된다는 것입니다.
4 일 동안 Radware의 허니팟은 전 세계 여러 곳에서 1,895 개의 PDoS 시도를 기록했습니다.
PDoS 시도는 전 세계에 퍼져있는 제한된 수의 IP 주소에서 시작되었습니다. 모든 장치가 포트 22 (SSH)를 노출하고 이전 버전의 Dropbear SSH 서버를 실행 중입니다. 대부분의 장치는 Shodan에 의해 Ubiquiti 네트워크 장치로 식별되었습니다. 그중에는 빔 지향성을 가진 액세스 포인트 및 브리지가 있습니다.
요약
BrickerBot "PDoS"캠페인이 Mirai와 같은 기존의 "DDoS"캠페인과 근본적으로 다른 방식의 수를 고려할 때, 유사한 소리를 사용하는 용어를 사용하면 혼동을 일으킬 수 있습니다.
- DDoS 공격은 일반적으로 공격 기간 동안 클라이언트가 서버 리소스에 액세스하지 못하도록 분산 장치 네트워크를 제어하는 봇 마스터가 수행합니다. 반면 "BrickerBot"은 임베디드 시스템을 "벽돌"하는 캠페인입니다.
- 봇넷 클라이언트는 공격자가 클라이언트에 설치된 응용 프로그램을 통해 제어됩니다. BrickerBot 캠페인에서 명령은 제어 응용 프로그램 (예 : 맬웨어)을 사용하지 않고 텔넷을 통해 원격으로 실행됩니다.
- DDoS 공격은 수많은 (수천만) 제어되는 장치를 사용하는 반면 BrickerBot 캠페인은 비교적 적은 수의 시스템을 사용하여 이른바 "PDoS"공격을 조율합니다.
- BrickerBot 캠페인은 무능력 화를 위해 임베디드 시스템을 목표로하는 반면, Mirai 등은 임베디드 시스템을 봇넷에 통합하기 위해 임베디드 시스템을 목표로합니다.