봇넷은 조직에 점점 더 큰 위협이 되고 있습니다. 그 이유는 다음과 같습니다.

게시 됨: 2020-10-28

오늘날 사이버 범죄자들은 ​​다양한 도구를 사용할 수 있습니다. 가장 기본적이고 가장 위험한 도구 중 하나는 봇넷입니다.

오늘날 거의 모든 사이버 공격은 어떤 형태로든 봇넷을 사용합니다. 수동 침투 시도와 같이 인간 해커가 직접 수행하는 공격조차도 일반적으로 대상 네트워크를 조사하고 취약성 스캔을 수행하는 봇넷이 선행됩니다. 따라서 경영진은 봇넷이 작동하는 방식과 봇넷으로부터 네트워크를 보호하는 방법을 이해하는 것이 중요합니다.

봇넷이란 무엇입니까?

이름에서 알 수 있듯이 봇넷은 봇 네트워크입니다.

"봇"은 웹 로봇의 약자로 "인터넷 봇" 또는 "www 로봇"이라고도 합니다. 봇은 사람이 할 수 있는 활동을 자동으로 수행하는 소프트웨어 응용 프로그램입니다. 봇은 인간보다 더 빠르고 더 큰 규모로 많은 활동을 수행할 수 있기 때문에 오늘날 봇이 널리 사용됩니다.

모든 봇이 나쁜 것은 아닙니다. 사실, 대부분의 사이트에서 환영받는 많은 좋은 봇을 포함하여 다양한 유형의 봇이 있습니다. 검색 엔진 스파이더와 웹 쇼핑 엔진은 아마도 좋은 봇의 가장 일반적인 예일 것입니다.

그러나 봇넷은 적대적인 봇으로 구성됩니다. 손상된 장치의 대규모 네트워크에서 실행되는 악성 소프트웨어 프로그램. 각 봇은 중앙 C&C(명령 및 제어) 서버와 주기적으로 통신합니다. 이것이 해커가 봇넷을 제어하고 봇에 지시를 내리고 다양한 공격을 수행하도록 명령하는 방법입니다. 봇이 실행되고 있는 손상된 장치의 소유자는 일반적으로 이러한 일이 발생하고 있다는 사실을 인식하지 못합니다.

봇넷은 실행되는 장치 유형에 따라 분류할 수 있습니다. 가장 강력한 봇넷은 개인용 컴퓨터의 대규모 네트워크인 경향이 있습니다. 해커는 컴퓨터에 악성 소프트웨어를 설치하여 이러한 네트워크를 구축합니다. 한 가지 일반적인 방법은 트로이 목마 첨부 파일이 포함된 스팸 이메일을 보내는 것입니다. 구축되었지만 감염된 PC에서 실행되는 봇넷은 기본 PC에 다양한 기능이 있기 때문에 해커가 매우 탐내는 도구입니다.

스펙트럼의 다른 쪽 끝에는 사물 인터넷(IoT) 장치로 구성된 봇넷이 있습니다. 지난 몇 년 동안 온도 조절 장치에서 초인종, 보안 카메라에 이르기까지 인터넷에 연결된 많은 "스마트" 장치가 출시되었습니다. 불행히도 이러한 장치 중 상당수는 강력한 보안을 갖추고 있지 않으며 해커는 수많은 장치를 손상시켜 노예로 만들고 대규모 봇넷에 통합할 수 있었습니다.

IoT 장치는 PC보다 훨씬 간단하고 기능이 훨씬 제한적이기 때문에 IoT 봇넷은 PC 기반 봇넷보다 덜 복잡한 공격이 가능합니다. 예를 들어 대부분의 IoT 장치에는 이메일 소프트웨어가 없지만 대부분의 PC에는 있습니다. 따라서 PC 봇넷은 대규모 스팸 이메일 캠페인에 사용될 수 있지만 IoT 봇넷은 사용할 수 없습니다.

그러나 질이 부족한 것은 양으로 보충할 수 있습니다. 일부 IoT 봇넷은 수십만 개의 종속 장치를 포함하는 거대합니다. 이러한 네트워크는 생성된 트래픽 양이 공격의 주요 기능인 DDoS와 같은 단순한 볼륨 공격에 사용되는 경향이 있습니다.

어떤 종류의 공격에 봇넷을 사용할 수 있습니까?

봇넷은 오늘날 다양한 종류의 공격에 사용됩니다. 다음은 가장 일반적인 몇 가지입니다.

DDoS(분산 서비스 거부)

DDoS 공격에서 봇넷은 많은 양의 트래픽을 생성하며 모두 하나의 대상을 목표로 합니다. 해커의 목표는 대상 사이트나 웹 응용 프로그램에 엄청난 양의 들어오는 HTTP 요청을 보내 의도된 사용자가 사용할 수 없도록 하는 것입니다. 해커의 관점에서 이상적인 결과는 대상을 완전히 충돌시키고 오프라인 상태로 만드는 것입니다.

그러나 심각하게 저하된 성능도 성공으로 간주됩니다. 최신 DDoS 공격은 엄청난 규모에 도달할 수 있습니다. 이 기사를 작성하는 현재 기록은 Amazon Web Services를 사용하는 조직을 겨냥한 2.3Tbps 공격입니다. 의심의 여지 없이, 이 기록은 더 큰 공격으로 곧 깨질 것입니다.

스팸

인터넷 초기에 이메일 스패머는 적은 수의 컴퓨터를 사용하여 대량의 메시지를 보냈습니다. 보안 회사는 이러한 컴퓨터의 IP 주소를 수정하고 게시하기 시작하여 보안 소프트웨어가 쉽게 차단할 수 있도록 했습니다.

오늘날 스패머는 목표를 달성하기 위해 대형 봇넷을 사용하여 이를 방지합니다. 각 종속 장치는 비교적 적은 수의 메시지를 전송하므로 보안 조직이 스팸 캠페인의 출처를 식별하기가 훨씬 더 어렵습니다. 그러나 봇넷의 크기는 스패머가 여전히 짧은 시간에 수천 또는 수백만 개의 메시지를 보낼 수 있음을 의미합니다. 또한 일부 봇넷은 이메일뿐만 아니라 SMS 스팸도 생성할 수 있습니다.

취약점 스캔

봇넷은 취약점 스캔을 수행합니다. 그들은 인터넷을 통해 네트워크를 체계적으로 조사하여 아직 패치되지 않은 알려진 취약점이 있는 시스템을 찾습니다. 악용 가능한 시스템이 발견되면 해커는 직접적인 침해 시도 및 기타 공격을 추적합니다.

맬웨어 설치

때때로 취약점 스캔은 사람의 개입이 뒤따르지 않습니다. 일부 취약점 유형의 경우 잠재적 피해자가 많이 발견되면 봇넷을 사용하여 취약한 시스템을 방문하여 악성코드에 감염시킵니다. 여기에서 인기 있는 선택에는 랜섬웨어가 포함되거나 개별 시스템의 경우 봇 소프트웨어가 설치되어 각각의 새 시스템을 봇넷으로 흡수합니다.

SEO 링크 및 콘텐츠 스팸

사용자 생성 콘텐츠(예: 제품 리뷰, 댓글 등)를 허용하는 사이트 및 웹 응용 프로그램은 종종 봇넷으로 인해 문제가 발생합니다. 봇은 가짜 계정을 만든 다음 특정 사이트에 대한 백링크가 포함된 작은 텍스트 덩어리와 같은 가짜 "콘텐츠"를 추가하려고 시도합니다. 해커의 주요 목표는 검색 엔진에서 링크된 사이트의 가시성을 높이고 아마도 피해를 입은 웹 응용 프로그램에서 이러한 링크를 따라 직접 도착하는 소수의 방문자를 확보하는 것입니다.

계정 탈취

해커는 대규모 웹 사이트를 침해할 때 사용자 이름 및 비밀번호 조합과 같은 수천 개의 자격 증명 세트를 수집하는 경우가 많습니다. 그들은 불행히도 많은 사람들이 여전히 많은 다른 웹사이트에서 동일한 자격 증명을 사용한다는 것을 알고 있습니다. 따라서 해커가 한 사이트에서 계정 자격 증명 목록을 얻으면 도난당한 자격 증명으로 다른 많은 사이트에 로그인을 시도합니다.

이 자격 증명 채우기는 매우 일반적입니다. 봇넷은 해커가 계정을 탈취하고 싶어하는 유명 사이트를 방문하여 훔친 자격 증명을 사이트의 로그인 양식에 체계적으로 "삽입"합니다. 일반적으로 이러한 로그인 시도 중 적어도 일부는 성공하므로 공격자가 새 사이트에서 해당 계정을 제어할 수 있습니다. 봇넷은 일반적으로 수천 또는 수백만 번의 체계적인 로그인 시도를 포함하기 때문에 이 프로세스의 중요한 부분입니다. 이는 인간 공격자의 능력을 넘어서는 것입니다.

결제 카드 사기

위협 행위자는 봇넷을 사용하여 도난당한 결제 카드의 유효성을 검사합니다. 봇은 카드 번호를 웹 애플리케이션에 입력하여 승인 또는 거부되었는지 확인합니다. 유사한 기술이 새로운 카드를 발견하는 데 사용됩니다. 봇은 잠재적인 숫자를 순환하여 웹 애플리케이션에 입력합니다. 이것은 이전에 공격자가 알지 못했던 추가 카드를 훔치는 조잡하지만 효과적인 방법입니다.

스크래핑 및 데이터 도용

해커는 봇넷을 사용하여 사이트와 웹 애플리케이션을 긁어모아 다양한 불법적인 목적으로 데이터를 복사합니다. 일부 산업(예: 전자 상거래, 보험 및 기타 여러 산업)에서는 가격 데이터가 중요한 정보입니다. 사실, 그늘진 기업은 때때로 위협 행위자를 고용하여 경쟁자의 사이트를 긁어 이를 획득합니다. 데이터 집계와 같은 다른 산업에서 기업은 콘텐츠에 대한 액세스 권한을 판매하고 있으며 봇넷 스크래핑은 비즈니스 모델에 직접적인 위협이 됩니다.

애플리케이션 남용

위협 행위자는 종종 표적이 되는 조직에 맞춤화된 고도로 전문화된 목적을 위해 봇넷을 사용합니다. 한 가지 일반적인 예는 봇넷을 사용하여 상업용 웹사이트 또는 모바일 애플리케이션에 액세스하고 거래를 완료하지 않고 구매 프로세스를 시작하는 재고 거부 입니다. 이렇게 하면 지정된 시간 동안 인벤토리에서 항목을 제거할 수 있으므로 실제 고객이 해당 항목을 구매할 수 없습니다. 방지된 판매로 인한 수익 손실과 함께 피해자에게 추가적인 문제가 발생할 수 있습니다.

봇넷은 여행 사이트와 애플리케이션을 공격하는 것이 일반적입니다. 봇은 항공편 일정을 쿼리하고 예약을 시작합니다. 일반적으로 10분 또는 15분 동안 인벤토리에서 좌석을 제거하지만 티켓은 구매하지 않습니다. 이렇게 하면 주어진 시간에 사용 가능한 인벤토리에서 많은 좌석이 제거될 뿐만 아니라 여행 사이트에 대해 많은 데이터 조회 비용이 발생할 수 있습니다.

많은 여행 사이트에서 비행 일정 정보를 외부 데이터 피드에 의존하고 쿼리별로 비용을 지불합니다. 따라서 봇 활동은 대상에 직접적인 재정적 피해를 입힙니다.

오늘날 봇넷 공격이 흔한 이유는 무엇입니까?

사이버 보안과 관련된 사람이라면 오늘날 적대적인 봇에 대한 강력한 방어가 필수적이라는 것을 알고 있습니다. 위에서 설명한 봇넷 공격은 매우 자주 발생합니다.

봇넷 공격

봇은 오늘날 웹 트래픽의 거의 2/3를 구성합니다. 일부는 검색 엔진 스파이더와 같은 좋은 봇입니다. 나머지(모든 봇의 절반 이상)는 적대적입니다. 출처: Reblaze에서 처리한 트래픽(일당 80억 건 이상의 HTTP/S 요청)

여기에는 여러 가지 이유가 있습니다. 봇넷은 일반적이며 항상 새로운 봇넷이 구축되고 있습니다. 사이버 범죄자는 봇넷이 필요하기 때문에 봇넷을 사용합니다. 앞에서 설명한 대부분의 공격은 이러한 공격 없이는 불가능합니다.

오늘날의 위협 행위자는 러시아의 조직 범죄 조직에서 중국의 국가 후원 해커에 이르기까지 모든 것을 포함합니다. 대부분의 해커는 정교하고 고도로 숙련되어 있습니다. 많은 사람들도 재정이 좋습니다. 그들은 목표를 달성하는 데 필요한 모든 도구를 사용할 것입니다. 따라서 더 크고 더 나은 봇넷이 항상 구축되고 있습니다.

해커에게 이익이 됩니다.

강력한 봇넷을 제어하는 ​​위협 행위자는 많은 수익 기회를 가지고 있습니다. 여기에 몇 가지가 있습니다.

DDoS 갈취

해커는 사이트에 대해 대규모 DDoS를 시작한 다음 사이트 소유자에게 몸값 요구를 보냅니다. 그들은 몸값이 지불될 때까지 공격을 유지하겠다고 위협합니다. 성공적인 DDoS는 고객이 사이트나 애플리케이션에 액세스하는 것을 방지할 수 있으므로 사이트 소유자는 공격으로 인한 지속적인 수익 손실을 유지하는 대신 몸값을 지불하는 경우가 많습니다.

도난당한 데이터 판매

앞서 언급했듯이 봇넷은 여러 유형의 귀중한 정보를 훔치는 데 사용될 수 있습니다. 지불 카드 번호와 같은 일부 유형의 데이터는 해커가 직접 사용하거나 이러한 목적을 위한 크고 성숙한 시장이 있는 다크 웹에서 재판매될 수 있습니다. 유효한 계정 자격 증명도 매우 중요합니다.

이메일 및 SMS 스팸

몇 년 전만 해도 대부분의 스패머는 가짜 제품을 판매하거나 다른 사기를 저지르기 위해 대량 이메일을 보냈습니다. 오늘날 피싱 캠페인 및 기타 불법 활동이 만연합니다. 또한 봇넷 소유자는 자신의 메시지를 보낼 뿐만 아니라 다른 범죄자에게 서비스형 스팸을 제공함으로써 이익을 얻을 수 있습니다.

SEO 스팸

봇넷은 웹에서 링크 드롭 캠페인을 수행하는 소위 "SEO 서비스"에 임대되는 경우가 많습니다.

기타 멀웨어 서비스

스팸 및 SEO와 함께 해커는 광고 사기, 애플리케이션 남용, 스크래핑 등 다양한 목적으로 봇넷 리소스를 임대할 수 있습니다. 다음에 논의할 것처럼 이제 이에 대한 활성 시장이 있습니다.

봇넷은 저렴하고 풍부하며 임대하기 쉽습니다.

다크 웹은 파일 공유 및 불법 약물 판매로 가장 잘 알려져 있습니다. 그러나 이곳은 사이버 범죄를 위한 많은 포럼과 지하 시장이 있는 곳이기도 합니다.

다양한 전문 분야와 기술을 갖춘 해커가 고용 서비스를 제공합니다. 공격 도구 및 기타 소프트웨어는 구매자가 제품을 평가하고 리뷰를 남길 수 있는 온라인 시장에서 판매됩니다. 그리고 봇넷은 시간, 일 또는 주 단위로 임대할 수 있습니다.

몇 년 전만 해도 봇넷을 원하는 공격자는 처음부터 봇넷을 구성해야 했으며 이는 어렵고 비용이 많이 드는 작업이었습니다. 오늘날 일반 DDoS 봇넷은 하루에 50달러에 대여할 수 있습니다. 공격 리소스가 매우 풍부하고 저렴하게 사용할 수 있는 경우 봇넷 공격이 그렇게 흔한 것은 놀라운 일이 아닙니다.

봇넷으로부터 네트워크를 보호하는 방법

봇넷 공격은 다양한 형태로 이루어지기 때문에 이에 대한 적절한 방어는 여러 다른 전선에서 이루어져야 합니다. 모범 사례는 DDoS에 대한 특정 조치, 기타 볼륨 공격에 대한 특정 조치, 모든 봇 공격에 적용되는 일반 원칙으로 분류할 수 있습니다.

모든 봇넷 공격 중 DDoS 공격이 가장 극적인 유형입니다. 최신 DDoS 공격의 규모와 규모는 엄청날 수 있으며 리소스가 부족한 웹 애플리케이션은 빠르게 압도될 수 있습니다.

다행히 오늘날 사이트가 DDoS를 견딜 수 있는 대역폭과 기타 리소스를 보유하는 것은 간단합니다. 최신 클라우드 플랫폼을 사용하면 웹 애플리케이션에 대한 자동 크기 조정을 간단하게 설정할 수 있으므로 수요가 증가할 때 추가 리소스가 빠르고 자동으로 온라인 상태가 됩니다.

사이트에 아직 이 기능이 없으면 곧 추가해야 합니다. 또한 현재 웹 보안 솔루션을 클라우드로 실행하고 있지 않다면 클라우드로 마이그레이션하는 것을 고려하십시오. 그런 다음 변화하는 위협 조건에 대응하여 동적으로 자동 확장할 수도 있습니다. 보호된 웹 애플리케이션은 DDoS 트래픽이 해당 애플리케이션에 도달하지 않기 때문에 자동 확장해야 하는 경우가 거의 없습니다.

DDoS 방어를 고려하는 동안 현재 사용할 수 있는 모든 옵션을 알고 있어야 합니다. DDoS 보호 서비스가 널리 보급되고 있습니다. 예를 들어, 최상위 계층 클라우드 플랫폼에는 이제 네트워크 및 전송 계층에서 볼류메트릭 DDoS에 대한 기본 제공 완화 기능이 포함됩니다. 귀하는 귀하에게 제공되는 모든 서비스를 이용해야 합니다.

다른 팁에는 CDN을 사용하여 정적 콘텐츠를 제공하는 것이 포함됩니다. 이것은 체적 공격의 영향을 줄일 수 있습니다. 전통적으로 이것은 주로 개별 파일(이미지, 미디어, 스크립트 등)에 대해 수행되었지만 오늘날에는 가능할 때마다 전체 페이지를 정적으로 만드는 경향이 있습니다. 이렇게 하면 비 볼륨 위협에 대한 사이트의 공격 표면을 줄일 수 있으며 보너스로 사용자에 대한 시스템의 인지된 응답도 향상됩니다.

다른 유형의 체적 공격

일부 형태의 봇 공격은 여전히 ​​봇넷이 많은 양의 트래픽을 전송해야 하지만 목표는 대상을 압도하는 것이 아닙니다. 일반적인 예는 자격 증명 스터핑입니다. 봇넷은 하나의 로그인 양식에 수천 번 액세스를 시도할 수 있습니다. 따라서 공격은 대량(대상으로 전송되는 많은 양의 요청 포함)이지만 DDoS를 유발하기 위한 것은 아닙니다.

대상 웹 애플리케이션이 대규모 공격이 발생하고 있음을 인식하여 요청을 거부할 수 있어야 하기 때문에 이러한 공격을 물리치는 것은 어려울 수 있습니다. 그러나 정교한 봇넷은 종속된 장치를 통해 요청을 빠르게 순환합니다. 대상은 지정된 IP 주소에서 하나의 요청만 수신할 수 있습니다. 기존 속도 제한 알고리즘은 각 트래픽 소스에서 오는 요청을 계산하기 때문에 이러한 알고리즘은 이러한 유형의 공격을 방어할 수 없습니다.

따라서 오늘날의 강력한 방어에는 견고한 봇 관리 및 인간 검증 기능이 포함되어야 합니다. 웹 보안 솔루션은 특정 트래픽 소스에서 보호된 애플리케이션으로 보낸 요청의 수(또는 적은 수)에 관계없이 자동화된 트래픽을 감지할 수 있어야 합니다.

이전 보안 솔루션은 블랙리스트, 서명, 브라우저 확인 및 기타 몇 가지 기술에 의존하여 적대적인 봇을 탐지했습니다. 이러한 기술은 더 이상 적절하지 않습니다. 최신 봇과 인벤토리 거부와 같은 애플리케이션 수준 공격을 안정적으로 탐지하기 위해 최신 보안 솔루션에는 행동 프로파일링과 같은 기능이 포함되어 있습니다. 그들은 보호하는 애플리케이션에 대한 합법적인 사용자의 특성과 행동 패턴을 배우고 이해합니다. 이를 통해 악성 트래픽 소스를 식별하고 차단할 수 있습니다.

마지막으로 명백해 보이지만 종종 간과되는 몇 가지 모범 사례를 언급해야 합니다. 첫째, 웹 애플리케이션은 엄격한 보안 정책을 시행해야 합니다. 예를 들어 사이트에서 특정 계정에 대해 로그인 시도가 여러 번 실패한 경우 해당 계정을 일시적으로 금지/비활성화하여 ATO(계정 탈취) 공격을 방지해야 합니다.

둘째, 네트워크는 가능한 한 불투명해야 합니다. 오류 조건이 발생하면 최소한의 정보로 적절하게 응답해야 합니다. 이렇게 하면 해커가 백엔드 구현 세부 정보를 배우는 것을 방지할 수 있으므로 취약점을 발견하기가 더 어려워집니다.

취약점에 대해 말하자면, 매우 명백해 보이지만 그럼에도 불구하고 반드시 말해야 하는 조언으로 이 섹션을 마무리할 것입니다. 네트워크는 최신 상태로 유지되어야 합니다! 봇넷은 항상 패치되지 않은 취약점이 있는 시스템을 검색하기 때문에 조직은 보안 패치와 업그레이드가 발행되는 즉시 설치되도록 엄격한 내부 정책이 필요합니다.

당신은 아마도 이 조언을 전에도 수없이 들었을 것입니다. 예, 다른 모든 사람들도 마찬가지입니다. 그럼에도 불구하고 확실히 더 잘 알아야 하는 대규모 조직에서는 여전히 종종 무시합니다.

가장 악명 높은 최근 사례는 1억 4,700만 소비자의 개인 금융 정보를 훼손한 Equifax 침해입니다. 이 회사는 Apache Struts의 결함을 통해 침투했습니다. 이 결함에 대한 패치는 침해가 발생하기 몇 달 전에 릴리스되었지만 Equifax에서는 적용되지 않았습니다.

Equifax처럼 되지 마십시오. 기억하십시오: 네트워크에 보안 허점을 남겨두면 봇이 찾아낼 것입니다.

결론

봇넷은 현대 위협 환경의 유비쿼터스 부분입니다. 이에 대한 적절한 방어를 유지하지 못하면 DDoS, 스팸, 취약성 스캔을 포함한 다양한 공격에 조직이 취약해질 수 있으며, 그 뒤를 이어 침투 테스트 시도 및 시스템 침해, 계정 탈취 공격, 스크래핑 및 데이터 절도, 애플리케이션 남용 등이 뒤따릅니다.

다행히도 모범 사례를 따르면 네트워크에서 적대적인 봇을 제외할 수 있습니다. 이 작업이 반드시 쉬운 것은 아닙니다. 무엇보다도 최신 세대의 악성 봇을 탐지할 수 있는 최신 웹 보안 솔루션이 필요합니다. 그러나 그것은 가능하며 조직이 적절한 보호를 받고 있는지 확인하는 것이 그 어느 때보다 중요합니다.