Variant of Dreaded IoT Botnet Mirai Found Mining Bitcoin

Mirai botnet(정보보호) 은 Bitcoin 마이닝 기능으로 확장하기 위해 Windows Trojan을 사용하기 시작했습니다.IBM의 비밀 연구 팀인 X-Force 는 비트 코인 마이닝 기능이 내장 된 멀웨어 ELF Linux / Mirai의 새로운 변종을 발견 했습니다.

미라이 (Mirai) botnet 은 botnet 을 확장하고 분산 서비스 거부 ( DDoS ) 공격에 참여하기 위해 Internet of Things (IOT) 장치를 찾아서 퍼가기 위해 만들어졌습니다. IBM 보고서에 따르면 지난 한 해 동안이 botnet 의 성공적인 공격에 대해 설명했습니다. 이 변종은 보안 연구원 인 MalwareMustDie에 의해 2016 년 8 월에 발견되었습니다. 이 공격에는 DynDNS에 대한 공격이 포함되어있어 미국 동부 해안 대부분의 트래픽이 감소했습니다.

비트 코인 광산에 IOT 장치를 사용하는 것은 참신합니다. Krebs on Security는 4 년 전 PC가 호스트 역할을 한 경우 비트 코인 마이닝 botnet 을 언급했습니다. 그러나 광 비트는 CPU를 많이 사용합니다. Bitcoin 마이닝을 높은 매출 기회로 만들기 위해서는 여러 가지 장치가 필요합니다.

공격자는 이전 사례에서 알 수 있듯이 비트 코인 교환을 공격 할 확률이 더 높습니다. 그러나 맬웨어 사용자가 IoT 장치를 손상시킴으로써 비트 코인을 채굴 할 가능성이 있습니다.

수명이 짧지 만 볼륨이 큰 최근 ELF Linux / Mirai 캠페인은 비트 코인 광부 종속장치를 사용하고 IBM X-Force 클라이언트를 공격했습니다.

ELF 64 비트 바이너리 파일에 대한 링크가 포함 된 트래픽은 2017 년 3 월에 나왔습니다. 4 일 동안 50 % 증가한 활동은 8 일 후에 가라 앉았습니다.

단계에서 공격이 발생했습니다.

이 공격은 여러 단계에서 발생했으며, 처음에는 희생자 시스템을 사용한다고 IBM Security Services의 선임 위협 연구원 인 David McMillen은 말했습니다. 비트 코인 클라이언트가 미라이 멀웨어에 포함되지 않았기 때문에 광부는 2 단계 감염이었습니다. 광부는 Mirai dropper, bitcoin 광부 종속장치, Linux 쉘 및 Dofloo 백도어를 포함하는 파일 아카이브의 일부였습니다.

동일한 Mirai 기능이 Windows 버전에서 포팅 된 샘플에서 발견되었지만 BusyBox를 실행하는 Linux 시스템에 중점을두고 있습니다. BusyBox는 디지털 비디오 녹화 서버와 실행 파일에서 Unix 도구를 제거합니다. Mirai 소프트웨어의 무차별 공격 툴을 대상으로하는 Telnet을 사용합니다.DVR 서버는 기본 텔넷 자격 증명을 사용하므로 대상이됩니다.

또한 읽음 : 악성 코드로 인해 서버가 암호화 터널링 마이닝 엔진으로 바뀜

텔넷 프로토콜은 IOT 장치를 손상시키는 게이트웨이 역할을하며이 중 많은 장치는 텔넷의 원격 액세스 기능을 사용합니다.

Mirai botnet 은 HTTP, UDP 및 TCP 프로토콜을 사용하는 여러 플러딩 도구를 사용하여 일반적인 공격을 수행 할 수 있습니다. 또한 WL4-A0ACM1 Windows 버전에는 무차별 대입 공격 도구 및 SQL 주입과 같은 다른 기능이 있습니다.

Bitcoin Miner Slave

Bitcoin 광부 종속장치는 비트 코인을 많이 만드는 능력이 부족한 IOT 장치에서 Bitcoin 광부가 얼마나 효과적 일지에 대한 질문을 제기했습니다. 그러나 수천 개의 장치를 동시에 공격 할 수있는 미라이의 능력을 고려할 때, 광부는 광부 컨소시엄으로 동등하게 행동 할 수 있습니다.

Mirai 드로퍼가 웹 콘솔에서 발견되었습니다. 이 사이트는 감염된 희생자의 실시간 카운터를 포함하는 맬웨어 패키지 아카이브 저장소로 사용되었습니다.

모든 이해 관계자는 제조업체 외에도 기업 및 가정 사용자를 포함한 장치를 보호해야합니다. DDoS botnet은 비트 코인 광부가 될 수 있습니다.