위협 주의보: 미라이(Mirai) 봇넷

저자: 채드 시먼(Chad Seaman)

개요

멀웨어 퇴치(Malware Must Die) 팀이 작성한 분석 기사와 이후 공개된 소스 코드 리포지토리에 힘입어 이미 미라이(Mirai) 봇넷에 관해 많은 사실들이 알려졌습니다. 이 주의보는 미라이 코드가 릴리스되기 전뿐만 아니라 릴리스 후 발생하는 공격과 조사 결과에 대한 정보도 제공합니다. 또한, 관련 조사 데이터 및 조사 결과에 따른 최종적인 프로세스도 요약하여 제공합니다. 실제 공격에서 관찰된 서명 또한 포함되어 있으며 미라이 기반 공격의 향후 탐지와 방어에 도움이 될 수 있습니다.

공격 이벤트 타임라인, 통계, 서명

미라이 공격 신호는 저널리스트 브라이언 크렙스(Brian Krebs)가 운영하는 보안 관련 블로그가 공격을 받았을 당시 처음으로 관측되었습니다. 총 4차 공격 중 1차 공격의 경우 최대 트래픽이 623Gbps에 달했습니다. 아래 타임라인은 Akamai가 방어한 4회에 걸친 공격을 보여줍니다.

Krebs DDoS Attack Size and Dates
그림 1: 브라이언 크랩스 블로그에 발생했던 첫 번째 미라이 시리즈 공격

일련의 DDoS 공격이 발생한 후 며칠도 지나지 않아 미라이의 소스 코드가 공개되었습니다. 그다음 타임라인은 이 코드가 공개된 이후에 발생한 미라이 확인 공격에 대한 대역폭을 초당 기가비트로 표시한 것입니다. 최대 대역폭은 여전히 높은 수치를 기록했으나 추후 공격에서는 대부분이 100Gbps 미만 수준이었습니다. 또한 대부분의 공격은 초당 3천만 패킷 미만이었습니다.

Mirai Confirmed DDoS - After Source Code Release
그림 2: 미라이 코드 공개 이후 Akamai가 방어한 공격 타임라인

초당 패킷이 최대 3천만에 달했던 유일한 공격은 10월 11일에 발생한 261Gbps 규모의 공격이었습니다. 패킷 전송률이 전반적으로 낮은 이유는, 현재까지 관측된 미라이 공격 중 상당수에 추가적으로 패딩 처리가 되었기 때문입니다. 이러한 공격 이벤트의 대부분은 최소 512바이트의 데이터를 포함한 페이로드를 갖춘 공격 기법을 사용했습니다. 이러한 대규모 패킷은 더 많은 대역폭을 소비할 수 있지만 일반적으로 패킷 처리량이 좀 더 낮습니다.