DDoS 봇넷이란?

봇넷 공격은 기록상 가장 큰 디도스 공격의 원인이 됩니다. 장치가 봇넷 맬웨어에 감염되는 방법, 봇이 원격으로 제어되는 방법, 봇넷 침입으로부터 네트워크를 보호하는 방법에 대해 알아보십시오.

Share facebook icon linkedin icon twitter icon email icon

봇넷

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • DDoS 봇넷 정의
  • 봇넷이 생성되는 이유 설명
  • 공격자가 봇넷을 원격으로 제어하는 방법 이해
  • 봇넷을 비활성화하고 감염을 방지하는 전략에 대한 이유

봇넷이란?

봇넷은 맬웨어에 감염되어 악의적인 행위자의 통제를 받는 컴퓨터 그룹을 의미합니다. 봇넷이라는 용어는 로봇과 네트워크라는 단어에서 나온 복합어이며 감염된 각 장치를 봇이라고 부릅니다. 봇넷은 스팸 발송, 데이터 도난, 랜섬웨어, 사기성 광고 클릭 또는 분산형 서비스 거부(DDoS) 공격을 포함하는 불법 또는 악의적인 작업을 수행하도록 설계될 수 있습니다.


랜섬웨어와 같은 일부 맬웨어는 기기 소유자에게 직접적인 영향을 미치지만, DDoS 봇넷 맬웨어는 다음과 같이 다른 수준의 가시성을 가질 수 있습니다. 일부 맬웨어는 장치를 완전히 제어할 수 있도록 설계된 반면, 다른 악성코드는 공격자나 “봇넷 허더”의 지시를 조용히 기다리는 동안 백그라운드 프로세스로 조용히 실행됩니다.


자가 전파 봇넷은 다양한 채널을 통해 추가 봇을 모집합니다. 감염 경로에는 웹 사이트의 취약성 악용, 트로이 목마 맬웨어, 원격 액세스를 확보하기 위한 취약한 인증 크래킹이 포함됩니다. 일단 액세스 권한을 확보한 뒤에 이러한 모든 감염 방법은 표적 장치에 맬어를 설치하여 봇넷 운영자가 원격으로 제어할 수 있게 합니다. 장치가 감염되면 주변 네트워크에서 다른 하드웨어 장치를 모집하여 봇넷 멀웨어의 자가 전파를 시도합니다.


특정 봇넷에서 봇 수를 정확하게 찾아내는 것은 불가능하지만 정교한 봇넷에 존재하는 총 봇 수는 수천 개에서 백만 개 이상으로 추정됩니다.

DDoS 봇넷 공격 애니매이션

봇넷을 왜 만듭니까?

봇넷을 사용하는 이유는 행동주의에서부터 국가가 후원하는 중단에 이르기까지 다양한 범위를 가지고 있으며 많은 공격이 단순히 이익을 위해 자행됩니다. 온라인에서 봇넷 서비스를 고용하는 것은 특히 이들이 야기할 수 있는 손상의 양과 비교했을 때 상대적으로 비용이 적게 듭니다. 또한, 봇넷 생성을 위한 장벽이 낮으므로 특히 규제와 법 집행이 제한된 지리적 위치에 있는 일부 소프트웨어 개발자들에게 수익성이 좋은 사업이 되기에 충분합니다. 이러한 결합은 비용을 받고 공격을 제공하는 온라인 서비스가 확산되는 현상으로 이어졌습니다.

봇넷은 어떻게 제어됩니까?

봇넷의 핵심 특성은 봇 허더로부터 업데이트된 지시를 받을 수 있는 기능입니다. 네트워크의 각 봇과 통신할 수 있는 기능을 사용하면 공격자가 공격 벡터를 대체하고, 표적 IP 주소를 변경하며, 공격을 종료하고, 기타 사용자 맞춤 행동을 할 수 있습니다. 봇넷 설계는 다양하지만 제어 구조는 다음과 같은 일반적인 2가지 범주로 나눌 수 있습니다.

클라이언트/서버 봇넷 모델

클라이언트/서버 모델은 각 개별 기기가 정보에 액세스하기 위해 중앙 집중식 서버(또는 소수의 중앙 집중식 서버)에 연결하는 기존의 원격 워크스테이션 워크플로우를 모방합니다. 이 모델에서 각각의 봇은 지시를 수신하기 위해 웹 도메인 또는 IRC 채널과 같은 명령 및 제어 센터(CnC) 리소스에 연결됩니다. 이러한 중앙 집중식 리포지토리를 사용하여 봇넷에 대한 새 명령을 제공함으로써 감염된 기기에 대한 명령을 업데이트하기 위해 공격자는 단순히 각 봇넷이 명령 센터에서 소비하는 소스 자료를 수정하기만 하면 됩니다. 봇넷을 관리하는 중앙집중식 서버는 공격자가 소유하고 운영하는 장치이거나 감염된 장치일 수 있습니다.


다음과 같이 인기 있는 중앙 집중식 봇넷 토폴로지가 많이 관찰되었습니다.

스타 네트워크 토폴로지

스타 네트워크 토폴로지 애니매이션

다중 서버 네트워크 토폴로지

다중 서버 네트워크 토폴로지 애니매이션

계층식 네트워크 토폴로지

계층식 네트워크 토폴로지 애니매이션

이러한 클라이언트/서버 모델 중 어느 모델에서도 각각의 봇은 지시를 수신하기 위해 웹 도메인 또는 IRC 채널과 같은 명령 센터 리소스에 연결됩니다. 이러한 중앙 집중식 리포지토리를 사용하여 봇넷에 대한 새 명령을 제공함으로써 감염된 기기에 대한 명령을 업데이트하기 위해 공격자는 단순히 각 봇넷이 명령 센터에서 소비하는 소스 자료를 수정하기만 하면 됩니다.


제한된 수의 중앙 집중식 소스에서 봇넷으로 지침을 업데이트하는 단순한 방식으로 협력하는 것이 이러한 시스템의 취약성이며, 중앙 집중식 서버가 있는 봇넷을 제거하려면 서버만 중단하면 됩니다. 이러한 취약성의 결과로 봇넷 멀웨어의 생성자는 한 개 또는 몇 개의 장애 지점을 통해 중단에 덜 취약한 새로운 모델로 발전하고 이동해 왔습니다.

피어 투 피어 봇넷 모델

최근 클라이언트/서버 모델의 취약성을 피하기 위해 봇넷은 탈중앙집중식 피어 투 피어 파일 공유 구성 요소를 사용하여 설계되었습니다. 제어 구조를 봇넷 내부에 넣으면 중앙 집중식 서버가 있는 봇넷에 존재하는 단일 장애 지점이 제거되어 완화 활동이 더 어려워집니다. P2P 봇은 클라이언트 및 명령 센터 양쪽 모두일 수 있으며 데이터를 전파하기 위해 인접 노드와 함께 협력할 수 있습니다.


피어 투 피어 봇넷은 통신을 송수신하고 맬웨어를 업데이트할 수 있는 신뢰할 수 있는 컴퓨터 목록을 유지관리합니다. 봇과 연결되는 다른 기기의 수를 제한함으로써 각각의 봇이 인접 장치에만 노출되어 이를 추적하고 완화하는 것이 더 어려워집니다. 중앙 집중식 명령 서버가 부족하면 피어 투 피어 봇넷은 봇넷의 작성자가 아닌 다른 누군가가 제어하는 것에 더욱 더 취약해 집니다. 제어 기능 손실을 방지하기 위해 일반적으로 탈중앙 집중식 봇넷은 암호화되어 액세스가 제한됩니다.

피어 투 피어 네트워크 토폴로지 애니매이션

IoT 기기는 어떻게 봇넷이 됩니까?

새 모이통을 감시하기 위해 뒷마당에 설치된 무선 CCTV 카메라를 통해 인터넷 뱅킹을 할 사람은 아무도 없지만, 그렇다고 이 장치가 필요한 네트워크 요청을 할 수 없다는 것을 의미하지는 않습니다. 취약하거나 열악하게 구성된 보안 환경과 결합된 IoT 장치는 새 봇을 모집하기 위해 봇넷 맬웨어를 개방할 수 있습니다. IoT 장치가 약간 증가하면서 많은 장치가 제대로 구성되지 않고 취약한 상황에 놓였기 때문에 DDoS 공격의 새로운 지형이 만들어지는 결과를 낳았습니다.


IoT 장치의 취약성이 펌웨어로 하드코딩되면 업데이트가 더욱 더 어려워집니다. 일반적으로 기본 자격 증명은 장치를 처음 설치할 때 그대로 변경되지 않고 유지되므로 위험을 완화하려면 펌웨어가 오래된 IoT 장치를 업데이트해야 합니다. 많은 하드웨어 할인 제조업체는 장치의 보안을 더 안전하게 만들기 위한 인센티브를 받고 있지 않으므로, 봇넷 맬웨어에서부터 IoT 장치에 이르기까지 제기된 취약성은 해결되지 않은 보안 위험으로 남아 있습니다.

기존의 봇넷은 어떻게 비활성화합니까?

봇넷의 제어 센터는 다음과 같이 비활성화합니다.

일단 제어 센터를 식별할 수 있으면 명령 및 제어 스키마를 사용하여 설계된 봇넷을 더 쉽게 비활성화할 수 있습니다. 장애 지점에서 헤드를 차단하면 전체 봇넷을 오프라인 상태로 만들 수 있습니다. 결과적으로 시스템 관리자와 사법 당국은 이러한 봇넷의 제어 센터를 폐쇄하는 데 중점을 둡니다. 이러한 과정은 사법 기능이 떨어지거나 개입 의지가 약한 국가에서 명령 센터가 운영된다면 더 어려워집니다.

개별 장치의 감염을다음과 같이 제거합니다.

개별 컴퓨터의 경우 기기에 대한 통제권을 다시 확보하는 전략에는 바이러스 백신 소프트웨어 실행, 안전한 백업에서 소프트웨어 재설치 또는 시스템 재포맷 후 클린 기기에서 다시 시작하기 등이 있습니다. IoT 장치의 경우 펌웨어 플래시, 공장 초기화 실행 또는 장치 포맷이 전략에 포함될 수 있습니다. 이러한 옵션을 사용할 수 없는 경우 장치 제조업체 또는 시스템 관리자는 다른 전략을 사용할 수 있습니다.

장치가 봇넷의 일부가 되는 것을 어떻게 방어할 수 있습니까?

다음과 같이 안전한 비밀번호를 생성하십시오.

취약한 많은 장치의 경우 봇넷 취약성에 대한 노출을 줄이는 것은 관리 자격 증명을 기본 사용자 이름과 비밀번호가 아닌 다른 것으로 변경하는 것만큼 간단할 수 있습니다. 보안 비밀번호를 생성하면 무차별 대입 크래킹이 어려워지고 매우 안전한 비밀번호를 생성하면 무차별 대입 크래킹이 거의 불가능해집니다. 예를 들어 Mirai 맬웨어에 감염된 장치는 응답 장치를 찾는 IP 주소를 스캔합니다. 장치가 ping 요청에 응답하면 봇이 사전에 설정된 기본 자격 증명 목록을 사용하여 찾은 장치에 로그인을 시도합니다. 기본 비밀번호 변경되고 보안 비밀번호가 구현된 경우 봇은 포기하고 계속 이동하여 더 취약한 장치를 찾습니다.

다음과 같이 신뢰할 수 있는 제3자 코드의 실행만 허용합니다

소프트웨어 실행에 대해 휴대 전화 모델을 채택하는 경우 화이트리스트 애플리케이션만 실행될 수 있으며 이를 통해 봇넷을 포함하여 악의적인 것으로 간주되는 소프트웨어를 강제 종료할 수 있는 더 많은 제어 기능을 부여받을 수 있습니다. 감독자 소프트웨어(예: 커널)만 악용하면 장치 악용을 초래할 수 있습니다. 이는 대부분의 IoT 장치가 보유하고 있지 않은 보안 커널을 우선적으로 보유하는 것에 달려 있으며 제3자 소프트웨어를 실행하고 있는 기기에 더 적합합니다.

주기적으로 시스템 밀기/복구:

설정 시간 후에 알려진 양호한 상태로 복원되면 봇넷 소프트웨어를 포함하여 시스템이 수집한 모든 오염이 제거됩니다. 이 전략을 예방 수단으로 사용하는 경우 자동으로 실행되는 맬웨어까지도 휴지통에 확실히 버릴 수 있습니다.

다음과 같은 모범 수신 및 송신 필터링 관행을 구현합니다.

기카 고급 전략에는 네트워크 라우터 및 방화벽에서의 필터링 관행이 포함됩니다. 보안 네트워크 설계의 원칙은 다음과 같은 계층화입니다. 공개적으로 액세스할 수 있는 리소스에 대한 제한 사항을 가장 적게 가지고 있는 반면 민감하다고 간주되는 것에 대한 보안을 지속적으로 강화합니다. 뿐만 아니라 네트워크 트래픽, usb 드라이브 등과 같이 이러한 경계를 넘는 모든 것을 면밀하게 조사해야 합니다. 품질 필터링 관행은 DDoS 맬웨어와 해당 전파 및 통신 방법이 네트워크에 들어가거나 나가기 전에 잡을 수 있는 가능성을 높입니다.


만약 현재 공격을 받고 계신 경우 압박감에서 벗어나기 위해 취할 수 있는 조치들이 있습니다. Cloudflare를 이미 사용하고 계시다면 이러한 단계를 따라 공격을 완화할 수 있습니다. Cloudflare에서 구현하는 DDoS 방어는 가능한 많은 공격 벡터를 완화하기 위해 다각적인 방어를 합니다. Cloudflare의 DDoS 방어에 관해 더 자세히 알아보십시오.