핑크 봇넷

Pink 봇넷은 지난 몇 년 동안 infosec 커뮤니티에서 관찰한 가장 큰 봇넷 중 하나입니다. 핑크봇넷 연구원들의 연구결과에 따르면,전성기에는 160만 개 이상의 장치를 감염시키고 통제했습니다. 봇넷의 대상은 중국에 위치했다는 점에 유의해야 합니다.거의 독점적으로 손상된 장치의 약 90%가 해당 국가에 위치합니다. 봇넷은 MIPS 기반 파이버 라우터의 취약점을 악용할 수 있었습니다.

구조

봇넷은 공격자가 침해된 장치를 완벽하게 제어할 수 있도록 하는 복잡하고 강력한 아키텍처로 뒷받침됩니다. 필요한 구성 데이터의 배포 및 가용성을 보장하기 위해 해커는 몇 가지 다른 기술을 사용합니다. 첫째, GITHUB 및 중국 웹사이트와 같은 타사 서비스를 활용했습니다.

하이브리드 아키텍처 덕분에 Pink 봇넷의 구성 데이터는 P2P(Peer-to-Peer) 및 C2(Command-and-Control) 서버를 통해 배포되기도 했습니다. P2P 방법 중 하나는 P2P-Over-UDP123 배포입니다. 위협의 이중 특성으로 인해 공격자는 P2P에 의존하여 일반 명령을 전달할 수 있으며 C2 경로는 DDoS 공격 시작, 사용자가 방문한 모든 HTTP 사이트에 광고 삽입, 등.

위협적인 명령

핑크 봇넷은 봇마스터로부터 들어오는 10개 이상의 명령을 인식하고 실행할 수 있습니다. 공격자의 특정 목표에 따라 봇넷은 추가 파일 및 페이로드를 가져오고, 임의의 시스템 명령을 실행하고, DDoS 공격을 시작하고, 스캔을 수행하고, 자체 업데이트 등을 수행할 수 있습니다. 해커는 또한 멀웨어를 사용하여 시스템 유형, CPU, 시스템 버전, 하드웨어 정보 및 메모리 정보와 같은 특정 장치 세부 정보를 수집할 수 있습니다.

끈기와 공급업체와의 싸움

Pink 봇넷의 특정 기능을 통해 침해된 파이버 라우터의 원래 펌웨어를 플래시한 다음 C2 다운로더와 함께 제공되는 부트로더를 포함하는 새 펌웨어로 다시 작성할 수 있습니다. 그 후 사이버 범죄자는 장치를 완전히 제어할 수 있습니다. 이를 통해 감염된 라우터에 대한 불법 액세스를 유지할 수 있었습니다.성공적으로 수행하는 동시에 장치 공급업체의 여러 가지 접근 방식에 대해서도 방어할 수 있습니다. 결국 공급업체는 침해된 라우터에 액세스하고 디버깅 소프트웨어를 분해하거나 장치를 완전히 교체하기 위해 전담 기술자를 보내야 했습니다.