Computer Security 연구원들은 실제 위험을 노출시키는 Enemybot 하이브리드 봇넷을 선택했습니다.

연구원들은 실제 위험을 노출시키는 Enemybot 하이브리드 봇넷을 선택했습니다.

보안 회사 FortiGuard의 연구원 팀은 새로운 봇넷 악성코드에 대해 자세히 설명하는 최근 블로그 게시물을 게시했습니다. 봇넷은 주로 분산 서비스 거부 공격을 전달하는 데 중점을 두고 있으며 이름은 Enemybot 입니다.

Enemybot은 Mirai와 Gafgyt의 혼합입니다.

FortiGuard에 따르면 Enemybot은 악명 높은 Mirai 봇넷Bashlite 또는 Gafgyt 봇넷 모두에서 코드와 모듈을 차용하는 일종의 돌연변이입니다. 두 봇넷 제품군 모두 온라인에서 사용할 수 있는 소스 코드가 있다는 사실은 새로운 위협 행위자가 Enemybot과 마찬가지로 횃불을 들고 믹스 앤 매치하고 자체 버전을 생성하는 것을 쉽게 만듭니다.

새로운 Enemybot 악성코드는 Keksec 위협 행위자와 연관되어 있습니다. Keksec은 주로 이전의 DDoS(분산 서비스 거부) 공격을 차단 하는 것으로 알려져 있습니다. FortiGuard는 한국 제조업체인 Seowon Intech의 라우터 하드웨어와 더 인기 있는 D-Link 라우터를 대상으로 하는 공격에서 이 새로운 멀웨어를 발견했습니다. 잘못 구성된 Android 기기도 맬웨어의 공격에 취약합니다.

Enemybot의 실제 위험이 노출되었습니다. 대상 장치를 손상시키기 위해 Enemybot은 작년에 가장 핫한 Log4j를 포함하여 알려진 광범위한 익스플로잇 및 취약점에 의존합니다.

Enemybot은 다양한 장치를 대상으로 합니다.

멀웨어는 확장자가 .pwned인 파일을 /tmp 디렉토리에 배포합니다. .pwned 파일에는 피해자를 조롱하고 작성자(이 경우 Keksec)를 알리는 간단한 텍스트 메시지가 포함되어 있습니다.

Enemybot 봇넷은 다양한 arm 버전에서 표준 x64 및 x86, bsd 및 spc에 이르기까지 생각할 수 있는 거의 모든 칩 아키텍처를 대상으로 합니다.

일단 배포되면 봇넷의 페이로드는 C2 서버에서 바이너리를 다운로드하고 바이너리는 DDoS 명령을 실행하는 데 사용됩니다. 멀웨어는 또한 .onion 도메인을 사용하는 C2 서버를 포함하여 난독화 수준을 가지고 있습니다.

FortiGuard는 .pwned 파일 메시지의 다른 버전에서 감지된 변경 사항으로 인해 맬웨어가 하나 이상의 위협 행위자 그룹에 의해 여전히 활발하게 작업되고 개선되고 있다고 믿습니다.

로드 중...