최근 몇 년 동안 봇넷은 점점 더 정교해졌습니다. 오늘날 봇넷은 대규모 DDoS 공격을 시작하고, 감염된 컴퓨터에서 데이터를 훔치고, 새 컴퓨터를 맬웨어로 감염시킬 수도 있습니다.
웹 사이트, 이메일 서버 또는 모든 유형의 온라인 서비스를 실행하는 경우 봇넷의 공격에 대해 걱정해야 합니다. 이 가이드는 이러한 유형의 공격으로부터 보호하는 방법을 알려줍니다.
봇넷 공격이란 무엇입니까?
봇넷 공격은 악의적인 행위자가 제어하는 인터넷 연결 장치 그룹이 수행하는 일종의 사이버 공격입니다.
봇넷 자체는 단순히 장치의 네트워크입니다. 사이버 범죄자가 네트워크에 맬웨어를 주입하여 사이버 공격을 시작하는 데 사용되는 집합체로서 그들을 제어할 때입니다. 봇넷 공격은 스팸 전송, 민감한 정보 도용, 기밀 정보 손상, 광고 사기 지속 또는 더 위험한 DDoS 실행에 사용될 수 있습니다. 디도스 공격.
봇 공격 대 봇넷 공격
봇넷 공격은 보다 일반적인 "봇 공격"의 특정 유형으로 간주될 수 있습니다. 봇 공격은 웹 사이트, 애플리케이션 또는 장치를 변조하기 위한 자동화된 웹 요청을 사용하는 사이버 공격입니다.
봇 공격은 처음에는 단순한 스팸 작업으로 구성되었지만 사용자를 속이거나 조작하기 위해 본질적으로 더 복잡하게 발전했습니다. 그 이유 중 하나는 봇킷으로 알려진 봇 구축용 오픈 소스 도구를 사용할 수 있기 때문입니다.
일반적으로 온라인 또는 다크 웹에서 무료로 제공되는 이러한 봇킷은 웹사이트 스크래핑, 계정 탈취, 양식 제출 남용, DDoS 공격을 포함한 봇넷 공격 생성과 같은 사악한 작업을 수행하는 데 사용될 수 있습니다.
봇넷 공격은 어떻게 작동합니까?
봇넷 공격은 사이버 범죄자가 보안을 손상시켜 장치에 대한 액세스 권한을 얻는 것으로 시작됩니다. 그들은 트로이 목마 바이러스 주입이나 기본적인 사회 공학 전술과 같은 해킹을 통해 이를 수행할 수 있습니다. 그런 다음 장치에 대규모 공격을 수행하도록 명령하는 악성 소프트웨어를 사용하여 이러한 장치를 제어합니다.
때로는 범죄자가 봇넷을 사용하여 공격을 시작하지 않고 대신 네트워크에 대한 액세스 권한을 다른 위협 행위자에게 판매합니다. 그런 다음 이러한 제3자는 스팸 캠페인 지시와 같이 자신의 필요에 따라 봇넷을 "좀비" 네트워크로 사용할 수 있습니다.
다양한 유형의 봇넷
봇넷 공격은 사용하는 방법과 도구에 따라 다를 수 있습니다. 때때로 이러한 봇넷은 공격하지 않고 해커가 사기 및 랜섬웨어 공격과 같은 보조 캠페인을 시작하는 경로가 됩니다. 일반적인 공격 유형 중 일부는 다음과 같습니다.
- DDoS(Distributed Denial-of-Service) 공격: 서버를 충돌시키기 위해 봇이 보낸 웹 트래픽으로 서버에 과부하를 가하는 방식으로 작동하는 보다 일반적인 유형의 봇넷 공격 중 하나입니다. 이 서버 작동 중단 시간은 추가 봇넷 기반 공격을 시작하는 데 사용할 수도 있습니다.
- 피싱 공격: 이들은 종종 조직 직원의 주요 정보를 추출할 목적으로 실행됩니다. 예를 들어 조직 내에서 신뢰할 수 있는 소스를 모방하여 사람들을 속여 로그인 세부 정보, 금융 정보 및 신용 카드 세부 정보와 같은 기밀 정보를 공개하도록 대량 전자 메일 스팸 캠페인을 고안할 수 있습니다.
- 무차별 암호 대입 공격: 여기에는 강제로 웹 계정을 침해하는 프로그램이 포함됩니다. 사전 공격 및 크리덴셜 스터핑 취약한 사용자 암호를 악용하고 데이터에 액세스하는 데 사용됩니다.
어떤 시스템 및 장치가 가장 위험합니까?
봇넷 공격과 같은 사이버 범죄가 뉴스를 만들 때 손상은 일반적으로 손상된 컴퓨터 또는 서버의 수라고 합니다. 그러나 감염되어 다운될 수 있는 것은 개별 시스템만이 아닙니다. 인터넷에 연결된 모든 장치는 봇넷 공격에 취약합니다.
사물 인터넷(IoT)의 성장으로 그 어느 때보다 많은 장치가 인터넷에 연결되어 공격 벡터 가능성이 증가하고 있습니다. 현관이나 뒤뜰을 감시하는 무해해 보이는 무선 CCTV 카메라도 손상되어 봇넷 맬웨어가 네트워크에 진입할 수 있는 진입점을 열 수 있습니다. 이러한 새로운 IoT 장치가 잘못 구성된 보안 설정으로 제공될 수 있다는 사실은 문제를 악화시킬 뿐입니다.
봇넷 공격 탐지
봇넷 공격은 장치가 손상되었을 때 사용자가 인식하지 못하는 경우가 많기 때문에 감지하기 어렵습니다. 일부 봇넷은 명령 및 제어 모델에서 각 봇을 제어하는 중앙 서버로 설계되었습니다. 이러한 봇넷에 대한 공격을 탐지하는 핵심 단계는 해당 중앙 서버를 찾는 것입니다.
정적 분석 기술은 감염된 시스템을 찾는 데 도움이 될 수 있습니다. 이는 장치가 프로그램을 실행하지 않을 때 실행되며 명령 및 의심스러운 실행 파일을 찾는 명령 및 제어 서버에 대한 맬웨어 서명 및 기타 의심스러운 연결을 찾는 것과 관련됩니다. 봇넷 작성자가 탐지를 피하기 위해 보다 정교한 기술을 개발함에 따라 정적 분석 방법을 피하는 방법이 점점 더 향상되고 있습니다.
사용 가능한 리소스가 더 있는 경우 행동 또는 동적 분석을 사용할 수도 있습니다. 여기에는 로컬 네트워크의 포트를 스캔하고 IRC(Internet Relay Chat)와 관련된 비정상적인 트래픽 및 활동을 찾는 것이 포함됩니다.
바이러스 백신 소프트웨어는 봇넷 공격을 어느 정도 감지할 수 있지만 감염된 장치를 발견하지 못합니다. 또 다른 흥미로운 방법은 허니팟을 사용하는 것입니다. 이들은 가짜 침투 기회를 통해 봇넷 공격을 유인하는 가짜 시스템입니다.
Mirai 봇넷과 같은 대규모 봇넷의 경우 ISP가 함께 작업하여 트래픽 흐름을 감지하고 봇넷 공격을 중지하는 방법을 알아냅니다. 그들은 보안 회사와 협력하여 네트워크에서 손상된 다른 장치를 식별할 수 있습니다.
봇넷 공격을 방지할 수 있습니까?
봇넷 공격을 방지하는 것은 수년에 걸쳐 더욱 어려워졌습니다. 이러한 공격을 방지하는 주요 과제 중 하나는 장치의 확산입니다. 종종 고유한 보안 설정이 있는 다양한 유형의 장치를 쉽게 사용할 수 있게 됨에 따라 이러한 공격이 발생하기 전에 모니터링, 추적 및 중지하기가 어려워집니다. 그러나 여전히 봇넷 공격을 방지하기 위해 특정 조치를 취할 수 있습니다.
- 모든 시스템을 최신 상태로 유지
봇넷이 기업의 보안 시스템에 침투하여 손상시키는 주요 경로 중 하나는 네트워크 시스템의 패치되지 않은 취약점을 이용하는 것입니다. 따라서 시스템을 최신 상태로 유지하고 새 업데이트를 사용할 수 있는 즉시 설치하는 것이 중요합니다.
여기에는 하드웨어 장치, 특히 기업에서 더 이상 적극적으로 사용하지 않을 때 무시할 수 있는 레거시 장치도 포함됩니다.
- 기본적인 사이버 보안 모범 사례 채택
봇넷 공격을 막으려면 모든 장치에서 기본 보안 위생을 따르는 것이 중요합니다. 여기에는 복잡한 암호를 사용하고 피싱 이메일의 위험성에 대해 직원을 교육하고 의심스러운 첨부 파일 및 링크를 클릭하는 것이 포함됩니다. 기업은 또한 네트워크에 들어오는 모든 새 장치가 안전한 보안 설정을 갖도록 적절한 조치를 취해야 합니다.
- 기계에 대한 액세스 제어
시스템에 대한 액세스를 잠그는 조치를 취하는 것은 봇넷 공격을 방지할 수 있는 또 다른 방법입니다. 강력한 암호 외에도 다단계 인증 및 컨트롤을 배포하여 가장 필요한 사람에게만 액세스를 제공해야 합니다. 중요 시스템에 대한 액세스를 제어하고 서로 분리하면 봇넷 공격을 특정 장치 집합으로 격리하고 근절하기가 약간 더 쉬워집니다.
- 분석 솔루션을 사용하여 네트워크 트래픽 모니터링
봇넷 공격을 방지하려면 사전에 탐지할 수 있는 좋은 기술이 필요합니다. 고급 분석을 사용하여 트래픽 흐름, 사용자 액세스 및 데이터 유출을 모니터링하고 관리하는 것도 취할 수 있는 또 다른 조치입니다. Mirai 봇넷은 공격자가 좀비 컴퓨터로 전환하여 안전하지 않은 연결된 장치를 악용한 사례 중 하나입니다.
봇넷 공격을 완화하는 방법
때로는 최선의 예방 조치도 봇넷 공격에 의해 극복될 수 있습니다. 네트워크에서 이를 감지하면 너무 늦어지고 결과적으로 네트워크 기능이 손상됩니다. 이러한 시나리오에서 가장 좋은 방법은 이러한 공격의 영향을 완화하는 것입니다. 이것은 발생할 손상을 줄이는 것을 의미합니다.
- 중앙 서버 비활성화
명령 및 제어 모델로 설계된 봇넷은 중앙 리소스 또는 서버가 식별되면 비활성화할 수 있습니다. 전체 봇넷을 제거하기 위해 작업의 두뇌를 차단하는 것으로 생각하십시오.
- 바이러스 백신 실행 또는 장치 재설정
손상된 개별 컴퓨터의 경우 목표는 통제권을 되찾는 것입니다. 바이러스 백신 소프트웨어를 실행하거나 시스템 소프트웨어를 다시 설치하거나 시스템을 처음부터 다시 포맷하면 됩니다. IoT 장치의 경우 봇넷 공격을 완화하기 위해 펌웨어를 플래시하고 공장 초기화를 완료해야 합니다.
봇넷 공격 FAQ
해커가 봇넷을 사용하는 이유는 무엇입니까?
해커는 봇넷을 사용하여 한 번에 많은 수의 컴퓨터를 공격합니다. 봇넷은 단일 공격자가 원격으로 제어하는 손상된 컴퓨터의 네트워크입니다. 이러한 시스템은 바이러스, 웜, 트로이 목마, 스파이웨어, 애드웨어 및 루트킷과 같은 맬웨어에 감염되었습니다.
맬웨어가 컴퓨터를 감염시키면 스팸 메시지를 보내거나 데이터를 도용하거나 기타 악의적인 활동을 수행합니다. 봇은 사람의 개입 없이 자동으로 반복 작업을 수행하도록 설계된 자동화된 프로그램입니다.
대부분의 봇은 스팸 이메일을 보내기 위해 만들어지지만 다른 많은 봇은 개인 정보를 도용하거나 서비스 거부 공격을 시작하거나 맬웨어를 배포하는 데 사용됩니다. 일부 봇넷은 이미 맬웨어에 감염된 좀비 PC를 중심으로 구축됩니다.
DoS 공격과 봇넷 공격의 차이점은 무엇입니까?
DoS(서비스 거부) 공격은 웹 사이트에 너무 많은 요청을 보내 웹 사이트에 대한 액세스를 방해하거나 차단하는 악의적인 활동 유형입니다. 봇넷은 이러한 공격을 수행하는 데 사용되는 해커가 제어하는 컴퓨터 네트워크입니다. 봇넷은 전 세계에 퍼져 있는 수천 대의 컴퓨터로 구성될 수 있지만 작업 배후의 해커의 목표는 컴퓨터를 제어하고 이를 사용하여 다른 컴퓨터 시스템에 대한 DoS 공격을 시작하는 것입니다.
DoS 공격을 방지하려면 웹 서버 소프트웨어가 정기적으로 업데이트되고 갑작스러운 수요 급증을 처리할 수 있는 충분한 대역폭이 있는지 항상 확인해야 합니다.
봇 허더란 무엇입니까?
봇 허더는 봇넷으로 사용할 취약한 컴퓨터를 찾아 장악하는 위협 행위자/해커입니다. 그들은 장치를 제어할 목적으로 이러한 컴퓨터에 악성 소프트웨어를 설치한 다음 공격 봇넷으로 사용합니다. 이 네트워크는 그들의 "무리"입니다. 일부 봇넷 유목민은 자신의 무리를 다른 사이버 범죄자에게 임대하기도 합니다.
