본문 바로가기

Gafgyt2

Gafgyt 변종 악성코드 분석 - Yakuza Bot Gafgyt는 현재 Mirai와 함께 가장 많이 유포되고 있는 IoT 악성코드다. 그 목적도 동일하게 DDoS 공격이며 봇넷을 확보하기 위해 취약한 다른 IoT 장비들을 감염시킨다는 점도 동일하다. Gafgyt는 Bashlite 또는 Qbot이라고도 불리며 Mirai 처럼 소스 코드가 공개되어 있어서 수많은 변종들이 지금까지 발견되고 있다. 원본 소스 코드뿐만 아니라 악성코드 제작자들이 기능을 더한 변종들의 소스 코드들도 다수 확인된다. 여기에서는 악성코드 제작자가 Yakuza라는 이름을 붙인 변종 악성코드를 다룬다. 초기 루틴 실행 시 먼저 현재 실행 중인 프로세스의 이름을 변경하는 형태의 분석 방해 기법 2가지가 사용된다. 첫 번째 방식은 현재 프로세스의 메모리 상에서 argv[0] 위치의 문자열을 .. 2020. 10. 14.
사물인터넷 (IoT) 환경 위협하는 악성코드들 2016년 9월 브라이언 크렙스의 블로그 크렙스온시큐리티(KrebsOnSecurity)와 프랑스 인터넷 호스팅 업체 OVH에 대해 기록적인 DDoS 공격이 발생하고 2016년 10월 21일 금요일 오전 미국 인터넷 호스팅 서비스업체 딘(Dyn)이 DDoS 공격을 당한 사건이 일어났다. 이로 인해 에어비앤비(Airbnb), 페이팔(PayPal), 넷플릭스(Netflix), 사운드 클라우드(SoundCloud), 트위터(Twitter), 뉴욕타임스(The New York Times) 등 여러 사이트에서 접속 장애가 발생했다. 이들 공격에는 사물인터넷(Internet of Things, IoT)을 감염시키는 미라이(Mirai)라는 악성코드가 이용되었음이 밝혀진다. 현재 여러 운영체제가 IoT의 주도권을 놓고 .. 2016. 12. 7.