“난 리눅스만 노려” 갓 등장한 따끈따끈한 암호화폐 채굴 봇넷 둘 (boannews.com)
“난 리눅스만 노려” 갓 등장한 따끈따끈한 암호화폐 채굴 봇넷 둘
리눅스 생태계를 위협하는 봇넷 두 가지가 새롭게 출몰했다. 이름은 각각 드림버스(DreamBus)와 프릭아웃(FreakOut)이다. 이중 드림버스는 웜과 비슷한 방식으로 작동한다. 내부 네트워크에서만이 아
www.boannews.com
암호화폐 채굴
암호화폐, 비트코인은 벌써 매우 유멍하다. 이러한 암호화폐를 찾아내는 행위를 채굴이라고 한다. 이유는 암호화폐를 얻는 행위가 실제 채굴하는 행위와 비슷한 느낌이여서이다.
유명한 비트코인을 예로 들면 비트코인은 일반적인 금융거래와는 다른점이 있다. 일반적인 금융거래의 경우 은행, 금융기관에서 장부를 관리하고 중개하는 역할을 한다. 하지만 비트코인, 암호화폐의 경우 이러한 중개기관이 없다. 모든 거래 내용과 장부는 암호화폐에 참여하는 사람들이 저장하고 공유한다. 암호화폐 환경 내에서 일어나는 모든 거래 내역을 참여하는 모든 사용자의 장부에 기록되기 때문에 위변조 하는 행위는 쉽지않다. 그만큼 안전하다고 할 수 있다. 이러한 기술을 블록체인이라고 한다. 여러 노드가 데이터를 공유하고 공유하는 데이터를 검증하여 신뢰성있고 안전한 데이터 검증을 할 수 있는 것이다. 비트코인은 전체 거래 내용을 10분 단위로 모아서 장부에 기록을 한다. 거래 장부는 암호화되어 있어 쉽게 접근할 수 없다. 즉, 이 장부에 전체 내용을 기록하는 행위를 하기 위해서는 암호를 풀어야 한다는 노력이 필요하다.
암호를 풀고 장부를 기록하는 행위는 충분한 노력이 필요하기 떄문에 비트코인은 장부 기록을 완료한 사용자에게는 비트코인을 준다. 이 과정이 채광행위와 비슷하다고 하여 채굴이라는 단어를 사용한다. 광산에서 언제 나올지 모를 광물을 찾기 위해 노력하고 찾아낸 광물로 부터 충분한 보수를 받는 것이다.
이러한 암호화폐를 쉽게 얻을 수 있다면 화폐에 가치는 떨어지게 되고 결국 화폐로써 의미가 사라질 수도 있다. 그래서 비트코인에서는 화폐의 개수를 한정짓고 화폐를 얻기위해 풀여야하는 암호역시 난이도가 점점 늘어나 비트코인을 얻기 어렵게 하므로써 화폐로써 가치를 유지하고 있다. 현재 비트코인은 지속적으로 코인을 제공하고 있지만 2040년을 끝으로 신규 비트코인을 생성하지 않고 이후 거래에 사용되는 수수료를 이용하여 지급할 것이라고 한다.
채굴 봇넷
비트코인의 암호화 장부는 공개키 기반으로 이루어져있다. 인수분해와 이산대수 등의 수학적 암호화로 암호문을 뚫기 쉽지않고 연산을 위해 고성능의 컴퓨터가 필요하다. 일반적으로 비트코인에서는 자신의 PC를 채굴하는 네트워크에 합류하여 채굴을 진행하고 완료 시 비트코인을 배분하여 받게된다. 하지만 여러 PC의 자원을 몰래 강제로 이용하여 채굴행위에 사용하고 악의적인 사용자가 비트코인을 전부 가져가려는 행위가 있을 수 있다. 최근 고성능의 리눅스 PC를 노린 채굴 봇넷이 두 종류 발견되었다. 드림버스(DreamBus)와 프릭아웃(FreakOut)으로 각각은 XM리그 라는 암호화폐 채굴을 위해 사용자들의 PC를 봇으로 만든다. 지금은 단순히 채굴용으로 사용하지만 랜섬웨어 등의 다른 방식으로도 충분히 사용될 수 있다고 한다.
이 두 종류의 봇넷은 네트워크를 돌아다니며 자가 증식하며 고성능의 PC를 주요 타겟으로 한다. 암호화폐 채굴을 위해서는 연산을 하기에 충분한 성능의 PC가 필요하기 때문이다. 그 중 리눅스를 타겟으로 하고있기 때문에 주의가 필요하다. 봇에 감염될 시 증상으로는 시스템의 자원이 채굴에 사용되기 때문에 평소보다 CPU 사용량이 급증할 수 있다. 현재 감염 PC는 생각보다 많을 것을 추정된다고 한다.
드림 버스의 경우 사설망을 사용하는 PC도 감염 시키기위해 RFC 1918 IP 영역을 스캔하여 취약한 리눅스 시스템을 찾는다고 한다. RFC 1918은 내부망 구성시 사용하는 프로토콜이다. 공유기, 스위치 등을 활용하여 내부망을 구성하면 사설 IP 주소를 사용하게 되는데 이러한 사설 IP도 추적하여 감염시킨다. 이후 해당 시스템을 찾으면 취약한 비밀번호에 대한 전수조사 패스워드 크래킹을 통하여 시스템을 뚫고 SSH나 원격 코드 실행등의 행위를 할 수 있다.
해당 봇넷 멀웨어의 경우 침투 방식이 매우 다양하여 주의가 필요하다. 충분히 위협적인 이 봇넷은 침투 취약점에 대한 빠른 패치와 사용자들의 적극적인 시스템 업데이트를 통하여 예방이 필요하다.
'Network, Security' 카테고리의 다른 글
| 방화벽(Firewall) - 구현방식에 따른 유형 (1) | 2021.01.26 |
|---|---|
| 윈도우 RDP(Remote Desktop Protocol) 서버 (0) | 2021.01.25 |
| FEC(Forward Error Correction), BEC(Backward Error Correction) (0) | 2021.01.23 |
| SNMP(Simple Network Management Protocol) (0) | 2021.01.22 |
| SMTP(Simple Mail Transfer Protocol) (0) | 2021.01.22 |
