암호자산을 악용한 범죄 중에는 악성코드를 통해 다른 사람의 PC나 스마트폰에서 마이닝을 수행하는 악성 마이닝 및 돈세탁 등이 잘 알려져 있습니다. 클라우드의 보안을 다루는 주요 네트워크 사업자인 Akamai가 2021년 2월 23일에 비트코인 네트워크를 이용한 봇넷을 확인했다고 발표했습니다.

Bitcoins, blockchains, and botnets - Akamai Security Intelligence and Threat Research Blog
https://blogs.akamai.com/sitr/2021/02/bitcoins-blockchains-and-botnets.html

Bitcoins, blockchains, and botnets - Akamai Security Intelligence and Threat Research Blog

Additional research and reporting provided by: Chad Seaman Executive Summary A recent piece of malware from a known crypto mining botnet campaign has started leveraging Bitcoin blockchain transactions in order to hide its backup C2 IP address. It's a simpl

blogs.akamai.com


The bitcoin blockchain is helping keep a botnet from being taken down | Ars Technica
https://arstechnica.com/information-technology/2021/02/crooks-use-the-bitcoin-blockchain-to-protect-their-botnets-from-takedown/

The bitcoin blockchain is helping keep a botnet from being taken down

Wallet transactions camouflage the IP address of the botnet's control server.

arstechnica.com


IT계 뉴스사이트 Ars Technica에 따르면, 봇넷을 이용한 공격에는 악의적인 접근에 가짜 IP주소를 전송하여 명령 및 제어서버(C2서버)를 고립시키는 DNS 싱크홀이라는 방어수단이 이용되고 있다고 합니다.

인터넷 위협에 대해 연구하고 있는 Akamai의 조사팀 SIRT(Security Intelligence Response Team)는 감시하고 있던 비트코인 마이닝 봇넷이 블록체인에 봇넷의 IP주소를 숨겨넣는 방법으로 DNS 싱크홀에 의한 격리를 돌파하려고 시도하고 있다는 것을 발견했습니다.


비트코인의 최소 단위인 1억분의 1비트코인은 비트코인의 제창자인 사토시 나카모토 씨의 이름을 따서 '사토시'라고 불리는데, 비트코인 거래의 트랜잭션에는 이 사토시값이 8비트단위의 데이터로 기록되어 있습니다. SIRT가 발견한 봇넷은 사토시값을 C2서버와의 통신에 사용하는 IP주소로 변환하여 DNS 싱크홀에 의해 격리된 단말과의 통신이 유지되도록 하고 있었습니다.

다음은 Akamai가 분석한 사토시값의 변환과정을 단순화하여 나타낸 것. 먼저 '6957'라는 사토시값을 16진수로 표현하면 '1b2d'입니다. 이 '1b'와 '2d'를 다시 10진수로 바꾸면 '27'과 '45'입니다. 마찬가지로 '36305'라는 사토시값을 '141', '209'로 변환한 후 4개의 숫자를 조합하면 '209.141.45.27'는 IP주소입니다. 이런 식으로 봇넷운영자는 비트코인 거래에 봇넷에서 사용하는 IP주소를 숨기고 있었다는 것입니다.

https://lh5.googleusercontent.com/A4-Gb1BoxyCCCFxqKSoit_oQWPuorrxzMGMN-i18H80YJt0HGRL_ZB6OF_y98fJGmbK5ZRCyqi_qZ8_mTzaNBvk8FywOlYhTwlhqTw2cGQH3gkMin9O23VGR96pqEHKPl2eOTeLN


Akamai는 이 기술에 대해 "이번 비트코인 블록체인에 봇넷의 통신에 필요한 정보를 교묘하게 숨긴다고 지금까지 볼 수 없었던 수단이 특정되었습니다. 분산된 검열 불가능한 데이터 소스에서 실시간으로 데이터를 추출하는 이 기술은 감염의 확산을 억제하는 것을 어렵게 하고 악성통신을 위한 IP주소를 쉽고 빠르게 교환할 수 있습니다"라고 우려합니다.

게다가 Akamai는 "봇넷의 개선을 방지하기 위해 여기에는 공개하지 않지만, 이 기술에는 단점도 있어서 완벽하지 않습니다. 하지만 이 기술이 사용된다면 큰 문제가 될 수 있고 사이버범죄자들 사이에서 인기 있는 방법이 될 가능성이 높다고 말할 수 있습니다"라고 말하며 경종을 울립니다.

Posted by 말총머리
,