나는 기본 사용자 이름과 암호를 사용하여 사물 인터넷 장치를 공격하고 본질적으로 DDoS (Distributed Denial of Service)를 생성하는 바이러스 인 Mirai 웜 에 대해 어느 정도 읽었습니다 .
그러나 최근 에 Internet of Things 장치에 대한 바이러스 공격 인 또 다른 웜인 BrickerBot 에 대해 읽었습니다 . thenextweb.com의이 기사에 따르면 영구 서비스 거부 (PDoS)가 발생합니다.
서비스 거부와 관련하여이 두 가지 공격의 차이점은 무엇입니까? 달리 언급하면 IoT 공격과 관련하여 DDoS와 PDoS의 차이점은 무엇입니까?
답변:
1. DDoS (참조 용)
기존의 분산 서비스 거부 공격 (DDos)은 일부 애플리케이션 ( Mirai , LizardStresser , gafgyt 등)을 통해 제어되는 노드로 구성된 분산 시스템 (봇넷) 이 소비되는 DoS (서비스 거부) 공격입니다 . 목표 지점의 자원을 소진 지점까지 이에 대한 좋은 설명은 security.SE에 제공됩니다 .
Mirai 제어 봇넷이 서비스 거부를 달성하는 방법에 대한 설명은 Incapsula 의 분석 에서 찾을 수 있습니다 .
이 범주의 대부분의 맬웨어와 마찬가지로 Mirai는 다음 두 가지 핵심 목적으로 구축됩니다.
- 봇넷을 더욱 성장시키기 위해 IoT 장치를 찾아서 손상시킵니다.
- 원격 C & C에서 수신 한 지침에 따라 DDoS 공격을 시작합니다.
채용 기능을 수행하기 위해 Mirai는 광범위한 IP 주소 스캔을 수행합니다. 이러한 스캔의 목적은 쉽게 추측 할 수있는 로그인 자격 증명 (일반적으로 공장 기본 사용자 이름 및 비밀번호 (예 : 관리자 / 관리자))을 통해 원격으로 액세스 할 수있는 보안이 취약한 IoT 장치를 찾는 것입니다.
Mirai는 일명 사전 공격 인 암호를 추측하기 위해 무차별 대입 기술을 사용합니다.
Mirai의 공격 기능을 통해 HTTP 플러드 및 다양한 네트워크 (OSI 계층 3-4) DDoS 공격을 시작할 수 있습니다. HTTP 플러드를 공격 할 때 Mirai 봇은 다음 기본 사용자 에이전트 뒤에 숨어 있습니다.
네트워크 계층 공격의 경우 Mirai는 GRE IP 및 GRE ETH 플러드뿐만 아니라 SYN 및 ACK 플러드, STOMP (Simple Text Oriented Message Protocol) 플러드, DNS 플러드 및 UDP 플러드 공격을 시작할 수 있습니다.
이러한 유형의 봇넷은 제어 된 장치를 사용하여 대상 시스템으로 향하는 대량의 네트워크 트래픽을 생성하여 공격이 지속되는 동안 해당 시스템에서 제공 한 리소스에 액세스 할 수 없게함으로써 리소스가 소진됩니다. 공격이 중단되면 대상 시스템은 더 이상 리소스를 소모 할 때까지 소비하지 않으며 합법적 인 수신 클라이언트 요청에 다시 응답 할 수 있습니다.
2. "PDoS"
BrickerBot 캠페인은 근본적으로 다릅니다. 임베디드 시스템을 봇넷에 통합하는 대신 서버에 대한 대규모 공격을 조정하는 데 사용되는 임베디드 시스템 자체가 대상입니다.
BrickerBot "BrickerBot" 에 대한 Radware의 게시물에서 영구 서비스 거부 결과 :
피해자의 하드웨어가 작동하지 않도록 설계된 빠르게 움직이는 봇 공격을 상상해보십시오. 영구적 인 서비스 거부 (PDoS)라고 불리는이 형태의 사이버 공격은이 하드웨어 손상 공격과 관련하여 더 많은 사건이 발생함에 따라 2017 년에 점점 더 대중화되고 있습니다.
일부 서클에서는 느슨하게 "플래싱"이라고도하는 PDoS는 시스템을 심하게 손상시켜 하드웨어를 교체하거나 다시 설치해야하는 공격입니다. PDoS는 보안 결함이나 구성 오류를 이용하여 시스템의 펌웨어 및 / 또는 기본 기능을 파괴 할 수 있습니다. 이는 잘 알려진 사촌 인 DDoS 공격과 달리 의도하지 않은 사용을 통해 리소스를 포화시키는 요청으로 시스템에 과부하를가합니다.
영구 무능력 화를 목표로하는 임베디드 시스템에는 원격 제어를 위해 일부 응용 프로그램이 다운로드되지 않으며 봇넷 (강조 광산)의 일부가 아닙니다.
장치 손상
Bricker Bot PDoS 공격은 Mirai에서 사용 된 것과 동일한 공격 경로 인 Telnet brute force를 사용하여 피해자의 장치를 위반했습니다. Bricker는 바이너리 다운로드를 시도하지 않으므로 Radware에는 무차별 대입 시도에 사용 된 전체 자격 증명 목록이 없지만 처음 시도한 사용자 이름 / 암호 쌍이 지속적으로 'root'/ 'vizxv임을 기록 할 수있었습니다. '
장치 손상
장치에 성공적으로 액세스하면 PDoS 봇은 결국 스토리지 손상을 초래하는 일련의 Linux 명령을 수행 한 다음 인터넷 연결, 장치 성능 및 장치의 모든 파일 삭제를 방해하는 명령을 수행했습니다.
세 번째 차이점은이 캠페인에 수천 또는 수백만 대가 아닌 적은 수의 공격자 제어 장치가 포함된다는 것입니다.
4 일 동안 Radware의 허니팟은 전 세계 여러 곳에서 1,895 개의 PDoS 시도를 기록했습니다.
PDoS 시도는 전 세계에 퍼져있는 제한된 수의 IP 주소에서 시작되었습니다. 모든 장치가 포트 22 (SSH)를 노출하고 이전 버전의 Dropbear SSH 서버를 실행 중입니다. 대부분의 장치는 Shodan에 의해 Ubiquiti 네트워크 장치로 식별되었습니다. 그중에는 빔 지향성을 가진 액세스 포인트 및 브리지가 있습니다.
BrickerBot "PDoS"캠페인이 Mirai와 같은 기존의 "DDoS"캠페인과 근본적으로 다른 방식의 수를 고려할 때, 유사한 소리를 사용하는 용어를 사용하면 혼동을 일으킬 수 있습니다.
killer_init()라인 190 ~ 220과 함수 memory_scan_match()라인 494 ~ 539를 보면 Mirai가 경쟁하는 봇넷의 프로세스와 일치하는 프로세스를 찾기 위해 장치 메모리를 스캔 한 다음 해당 프로세스를 종료 함을 알 수 있습니다 . Mirai는 또한 감염된 장치에서 텔넷을 제거하므로 장치를 "패치"할 필요가 없습니다. "BrickerBot"
DDoSe는 일시적입니다. 공격 벡터가 제거되거나 DDoS가 중지되면 장치가 작동합니다. (또는 Mirai의 경우 나머지 인터넷이 작동합니다.)
PDoSes는 다시 작동 하지 않도록 장치를 업데이트 합니다.
Mirai는 IoT 장치를 DDoS 소스로 사용했습니다 . Mirai에 감염된 장치는 여전히 작동했습니다. DDoS 측면은 일반적인 기능 외에도 추가되었습니다. 장치 자체에 대한 DDoS가 아닙니다.
이 정상적인 기능을 제거하고 제거 할 수있는 방법을 제공하지 않았다면, 그것은 장치에 대한 PDO를했을 및 일반적으로 인터넷에 대한 DDoS 공격의 소스.
Dave가 작성한 내용에 대해 조금 더 자세히 설명하자면, 주요 차별화 요소는 DDoS 봇넷의 경우 IoT 장치가 공격자로 사용되며 일반적으로 장치의 주요 기능을 방해하지 않는 것입니다. 모든 공격자들은 제 3 자에 대한 DDoS 공격을 수행 할 수있는 봇넷의 힘을 잃고 싶지 않습니다. IoT 소비자는 일반적으로 아무 것도 눈치 채지 못합니다.
그러나 BrickerBot 은 장치 자체를 공격하고 장치를 비활성화합니다. 따라서 IoT 소비자는 공격 대상이며 의도하지 않은 공격 가능성을 제공하지 않습니다.
많은 블로그에서 가정하는 것처럼 ( 이 예제를 보시면) 봇은 DDoS 웜의 잠재적 목표를 줄이기위한 예방 조치 일 수 있습니다. 주로 봇 순 잠재력 또는 경쟁을 줄이는 것 외에 물건을 파괴함으로써 얻는 것이 거의 없기 때문입니다.
IoT 제조업체 (이미지)와 소비자를 실제로 위협하는 위협이기 때문에 IoT 장치를 올바르게 보호해야하는 시급성을 높이기 때문에이를 좋은 것으로 간주 할 수 있습니다.